Contrato de Encargado del Tratamiento de Datos (DPA)

Entre:

Onera, en calidad de Encargado del Tratamiento, y el profesional de la salud mental que se registra como usuario, en calidad de Responsable del Tratamiento(en adelante, “el Psicólogo”).

1. Objeto

Este contrato regula el tratamiento de datos personales introducidos en la plataforma por el Psicólogo, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).

2. Obligaciones del Encargado del Tratamiento

  • Tratar los datos solo bajo instrucciones del Psicólogo.
  • Cifrar todos los datos sensibles antes de almacenarlos.
  • Anonimizar los datos enviados a sistemas de IA.
  • Garantizar la confidencialidad y seguridad de los datos.
  • No usarlos para fines propios ni cederlos sin autorización.
  • Notificar cualquier brecha de seguridad.
  • Eliminar o devolver los datos a petición del Psicólogo.

3. Subencargados autorizados

  • Supabase Inc. – almacenamiento y base de datos.
  • OpenAI Inc. – procesamiento con IA.
  • Vercel Inc. – infraestructura de hosting.
  • Meta Platforms, Inc. – envío de recordatorios de cita por WhatsApp Business Platform, únicamente si el Psicólogo activa expresamente dicha funcionalidad.

Todos ellos con garantías adecuadas según el RGPD.

4. Obligaciones del Psicólogo

  • Disponer de base legal para tratar los datos de sus pacientes.
  • No introducir datos innecesarios o no pertinentes.
  • Aplicar minimización de datos e incluir solo la información imprescindible para la finalidad clínica.
  • Evitar, cuando no sea necesario, datos identificativos directos en campos de texto libre (por ejemplo, nombre completo, dirección exacta, DNI o teléfono).
  • Usar los números de teléfono de pacientes exclusivamente para finalidades asistenciales u organizativas legítimas, como recordatorios de cita, y nunca para marketing, ventas o comunicaciones no solicitadas.
  • Custodiar de forma diligente su contraseña y su clave de recuperación, sin compartirlas con terceros.
  • Usar la plataforma conforme a la ley y su ética profesional.
  • Informar al paciente del uso de herramientas automatizadas si lo considera necesario.

5. Custodia de claves y limitación de responsabilidad

Debido al modelo de cifrado aplicado por Onera, el Encargado no conserva las claves criptográficas necesarias para descifrar el contenido clínico. En consecuencia, si el Psicólogo pierde la contraseña y la clave de recuperación, la pérdida de acceso a los datos cifrados será irreversible.

El Psicólogo reconoce y acepta que Onera no puede restaurar dichas claves ni asumir responsabilidad por pérdidas de acceso derivadas de la custodia inadecuada de credenciales por parte del Responsable del Tratamiento.

6. Duración

Este contrato estará en vigor mientras el Psicólogo mantenga su cuenta activa y podrá ser rescindido en cualquier momento con la eliminación de la cuenta y los datos.

7. Aceptación

Al marcar la casilla correspondiente en el proceso de registro, el Psicólogo acepta este contrato legalmente.

Última actualización: 12 de mayo de 2025
Versión: v1.0