Contrato de Encargado de Tratamiento (DPA)
Anexo al Contrato de Servicio entre PulsoClinic SL y la Clínica. Cumplimiento del art. 28 del Reglamento (UE) 2016/679 (RGPD).
Versión: 1.0 — 26 de mayo de 2026
1. Partes
- Responsable del tratamiento (en adelante, "el Responsable"): la entidad sanitaria identificada en el contrato de servicio (la "Clínica").
- Encargado del tratamiento (en adelante, "el Encargado"): PulsoClinic SL (en constitución), NIF [pendiente], domicilio en C/ Padilla 327, 08025 Barcelona, España. Correo: largavida.es@gmail.com.
2. Objeto del encargo
El Responsable encarga al Encargado el tratamiento de datos personales necesario para la prestación del servicio PulsoClinic, descrito en el contrato principal: digitalización y estructuración de analíticas, extracción de biomarcadores, cálculo de indicadores y generación de informes clínicos.
3. Detalle del tratamiento
| Concepto | Especificación |
|---|---|
| Duración | Mientras dure el contrato de servicio entre las partes. Las obligaciones de confidencialidad, seguridad y supresión sobreviven a su terminación. |
| Naturaleza | Tratamiento automatizado: parsing de PDF, extracción mediante IA, cálculo de indicadores, renderizado de DOCX, almacenamiento temporal cifrado y trazabilidad en audit log. |
| Finalidad | Exclusivamente la prestación del servicio contratado. Prohibido cualquier uso para fines propios del Encargado. |
| Tipo de datos personales | Datos identificativos del paciente (nombre, apellidos — solo en el lado servidor y en el documento generado, nunca expuestos al motor de IA), edad, sexo, valores de biomarcadores (categoría especial: datos de salud, art. 9 RGPD), fecha de la analítica. |
| Categorías de interesados | Pacientes del Responsable. |
3.1. Garantía técnica diferencial: redacción de PII previa al procesamiento por IA
Antes de enviar el texto de la analítica al modelo de inteligencia artificial (Anthropic Claude), el Encargado aplica un proceso automatizado de redacción que elimina del texto los siguientes identificadores directos, sustituyéndolos por marcadores:
- Nombre y apellidos del paciente →
<NOMBRE>,<APELLIDOS> - DNI / NIE →
<DNI> - Correo electrónico →
<EMAIL> - Teléfono →
<TELEFONO> - Fecha de nacimiento →
<FECHA_NAC> - Número de historia clínica / expediente →
<NHC>
El modelo de IA no recibe identificadores directos del paciente. El nombre del paciente, cuando es necesario para personalizar el informe final, se captura por separado mediante reglas deterministas en el lado servidor del Encargado y se reincorpora al documento final sin haber pasado por el motor de IA.
4. Obligaciones del Encargado
El Encargado se obliga, conforme al art. 28.3 RGPD, a:
a) Tratar los datos exclusivamente conforme a las instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales. El contrato principal y este DPA constituyen la totalidad de instrucciones iniciales.
b) Garantizar que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad o estén sometidas a una obligación legal de confidencialidad.
c) Implementar las medidas técnicas y organizativas apropiadas (art. 32 RGPD), descritas en el Anexo I de este DPA.
d) Cumplir las condiciones para subcontratar establecidas en el apartado 5.
e) Asistir al Responsable mediante medidas técnicas y organizativas apropiadas, siempre que sea posible, para que pueda atender las solicitudes de ejercicio de derechos de los interesados (arts. 12-22 RGPD).
f) Ayudar al Responsable a garantizar el cumplimiento de las obligaciones de los arts. 32 a 36 RGPD (seguridad, notificación de brechas, evaluación de impacto, consulta previa).
g) A elección del Responsable, suprimir o devolver todos los datos personales una vez finalice la prestación del servicio, y suprimir las copias existentes, salvo que se requiera la conservación por ley. Plazo de puesta a disposición: 30 días desde la terminación. Plazo de supresión segura tras devolución: 60 días.
h) Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del art. 28 RGPD, así como permitir auditorías (incluidas inspecciones) realizadas por el Responsable o por otro auditor autorizado por él, con un preaviso razonable y, salvo causa justificada, no más de una vez al año.
i) Notificar al Responsable cualquier violación de seguridad que afecte a los datos personales sin dilación indebida y, en todo caso, en un plazo máximo de 24 horas desde que el Encargado tenga constancia, para que el Responsable pueda cumplir con su obligación de notificación a la AEPD en 72h (art. 33 RGPD). Procedimiento detallado: breach-procedure.md.
j) No realizar transferencias internacionales distintas de las autorizadas en este DPA sin instrucción escrita del Responsable.
k) Informar inmediatamente al Responsable si, a su juicio, una instrucción infringe el RGPD u otras normas de protección de datos.
5. Subencargados
El Responsable autoriza con carácter general al Encargado a recurrir a los subencargados listados en subprocessors.md, entendiéndose que:
- El Encargado mantendrá actualizada esa lista y notificará al Responsable cualquier cambio (incorporación o sustitución) con un preaviso mínimo de 30 días, a través del correo de contacto del Responsable.
- El Responsable podrá oponerse motivadamente a la incorporación de un nuevo subencargado en ese plazo. Si las partes no alcanzan un acuerdo razonable, el Responsable podrá resolver el contrato sin penalización.
- El Encargado impondrá a los subencargados, mediante contrato, las mismas obligaciones de protección de datos establecidas en este DPA, y responderá frente al Responsable del incumplimiento de las mismas por parte del subencargado.
6. Transferencias internacionales
Las transferencias a Anthropic, PBC (EE.UU.) y Netlify, Inc. (EE.UU.) se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914, en su versión Módulo 3 (encargado-encargado).
El Encargado ha realizado la correspondiente Evaluación de Impacto de la Transferencia (TIA) conforme a la doctrina Schrems II (C-311/18), documentada en tia-anthropic.md, incorporando como medida suplementaria principal la redacción automática de identificadores directos antes de la transferencia.
El Responsable reconoce haber sido informado de las garantías aplicadas y de los riesgos residuales.
7. Responsabilidad
El Encargado responde frente al Responsable por los daños causados por el incumplimiento de las obligaciones de este DPA o por actuar al margen de las instrucciones lícitas del Responsable.
La responsabilidad económica máxima del Encargado por incumplimiento del DPA queda alineada con la cláusula de limitación de responsabilidad del contrato principal, salvo en los supuestos de dolo, fraude o daños a personas, donde se aplicará el régimen de responsabilidad general del RGPD.
8. Vigencia
Este DPA entra en vigor con la firma del contrato principal y vigerá mientras dure el mismo, prolongándose sus obligaciones de confidencialidad, seguridad y devolución/supresión hasta su completo cumplimiento.
ANEXO I — Medidas técnicas y organizativas (art. 32 RGPD)
| Categoría | Medidas implementadas |
|---|---|
| Cifrado en tránsito | TLS 1.2 o superior en todas las comunicaciones externas. Comunicaciones internas entre microservicios aisladas en red interna Docker. |
| Cifrado en reposo | EBS de AWS con cifrado por defecto (AES-256, claves gestionadas por AWS KMS). |
| Control de acceso | Autenticación basada en JWT con expiración corta. Contraseñas hasheadas con bcrypt (factor de coste ≥ 12). RBAC con roles diferenciados (médico, recepción, admin de clínica). |
| Aislamiento multi-tenant | Cada registro lleva clinic_id. Todas las consultas filtran por la clínica del usuario autenticado. No existe endpoint cross-tenant. |
| Minimización en IA | Redacción automática de identificadores directos (NOMBRE, APELLIDOS, DNI, EMAIL, TELEFONO, FECHA_NAC, NHC) antes de enviar texto al modelo de IA. |
| Trazabilidad | Audit log append-only con disparadores SQL que impiden modificación o borrado. Registra toda acción sobre datos clínicos: usuario, timestamp, IP, acción, recurso. |
| Logs de seguridad | Conservación de logs de acceso 12 meses. |
| Gestión de incidentes | Procedimiento documentado de notificación de brechas en <24h al Responsable (breach-procedure.md). |
| Pseudonimización | Identificadores directos del paciente no se transmiten al motor de IA. |
| Backup y recuperación | Snapshots automáticos de los volúmenes de datos. |
| Localización de los datos | Cómputo y almacenamiento principal en AWS eu-central-1 (Frankfurt). |
| Formación del personal | El personal con acceso a sistemas productivos recibe formación en protección de datos sanitaria antes del acceso y con periodicidad mínima anual. |
| Confidencialidad | Acuerdos de confidencialidad firmados por todo el personal con acceso a datos de clientes. |
Estas medidas se revisan periódicamente y pueden ser actualizadas para incorporar mejoras técnicas, manteniendo en todo caso un nivel de seguridad equivalente o superior.