Contrato de Encargado del Tratamiento de Datos (DPA)

Documento contractual que regula el tratamiento de datos personales introducidos en Onera por parte de profesionales de la salud mental.

1.Partes y objeto

Entre:

Onera, en calidad de Encargado del Tratamiento, y el profesional de la salud mental que se registra como usuario, en calidad de Responsable del Tratamiento (en adelante, “el Psicólogo”).

Este contrato regula el tratamiento de datos personales introducidos en la plataforma por el Psicólogo, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).

2.Obligaciones del Encargado del Tratamiento

Tratar los datos solo bajo instrucciones del Psicólogo.
Aplicar medidas técnicas y organizativas apropiadas para proteger los datos personales, incluyendo cifrado cuando la naturaleza del dato y la arquitectura del servicio lo permitan.
Anonimizar los datos enviados a sistemas de IA.
Garantizar la confidencialidad y seguridad de los datos.
No usarlos para fines propios ni cederlos sin autorización.
Notificar cualquier brecha de seguridad.
Aplicar, cuando proceda, criterios de minimización y limitación del plazo de conservación sobre datos operativos o transitorios necesarios para el funcionamiento del servicio.
Custodiar las evidencias de aceptación de documentos y consentimientos electrónicos cuando el Psicólogo active dichos flujos, incluyendo documento, firma, fecha, IP, navegador y PDF generado.
Eliminar o devolver los datos a petición del Psicólogo.

Determinadas funcionalidades operativas o integraciones activadas por el Psicólogo, como la sincronización con calendarios de terceros, recordatorios o flujos documentales, pueden requerir el tratamiento de metadatos o contenidos mínimos para prestar correctamente el servicio. En esos casos, Onera limitará ese tratamiento a lo estrictamente necesario para la finalidad correspondiente y aplicará cifrado o controles equivalentes cuando sea técnicamente compatible con la funcionalidad.

3.Subencargados autorizados

Supabase Inc. – almacenamiento y base de datos.
OpenAI Inc. – procesamiento con IA.
Vercel Inc. – infraestructura de hosting.
Proveedor de correo transaccional configurado – envío de emails operativos, recordatorios, facturas y enlaces de firma de documentos.
Meta Platforms, Inc. – envío de recordatorios de cita por WhatsApp Business Platform, únicamente si el Psicólogo activa expresamente dicha funcionalidad.

Todos ellos con garantías adecuadas según el RGPD.

4.Obligaciones del Psicólogo

Disponer de base legal para tratar los datos de sus pacientes.
No introducir datos innecesarios o no pertinentes.
Aplicar minimización de datos e incluir solo la información imprescindible para la finalidad clínica.
Evitar, cuando no sea necesario, datos identificativos directos en campos de texto libre (por ejemplo, nombre completo, dirección exacta, DNI o teléfono).
No incluir, salvo estricta necesidad profesional o legal, nombres completos, diagnósticos, motivos de consulta u otros datos de salud en títulos o descripciones de eventos, conceptos de factura, títulos de materiales, solicitudes públicas de cita u otros campos operativos de texto libre.
Utilizar, siempre que la plataforma lo permita, la vinculación estructurada del paciente y los campos específicamente diseñados para historia clínica en lugar de introducir datos identificativos o clínicos en textos libres operativos.
Configurar y utilizar de forma minimizada las integraciones y canales externos que active, incluyendo Google Calendar, correo electrónico y WhatsApp.
Usar los números de teléfono de pacientes exclusivamente para finalidades asistenciales u organizativas legítimas, como recordatorios de cita, y nunca para marketing, ventas o comunicaciones no solicitadas.
Custodiar de forma diligente su contraseña y su clave de recuperación, sin compartirlas con terceros.
Usar la plataforma conforme a la ley y su ética profesional.
Informar al paciente del uso de herramientas automatizadas si lo considera necesario.

El Psicólogo reconoce que algunos campos operativos pueden ser visibles para integraciones o proveedores expresamente activados por él y se obliga a no introducir en ellos más información personal de la imprescindible para la prestación del servicio.

5.Custodia de claves y limitación de responsabilidad

Debido al modelo de cifrado aplicado por Onera, el Encargado no conserva las claves criptográficas necesarias para descifrar el contenido clínico. En consecuencia, si el Psicólogo pierde la contraseña y la clave de recuperación, la pérdida de acceso a los datos cifrados será irreversible.

El Psicólogo reconoce y acepta que Onera no puede restaurar dichas claves ni asumir responsabilidad por pérdidas de acceso derivadas de la custodia inadecuada de credenciales por parte del Responsable del Tratamiento.

6.Duración

Este contrato estará en vigor mientras el Psicólogo mantenga su cuenta activa y podrá ser rescindido en cualquier momento con la eliminación de la cuenta y los datos.

7.Aceptación

Al marcar la casilla correspondiente en el proceso de registro, el Psicólogo acepta este contrato legalmente.

Última actualización: 24 de abril de 2026 · Versión v1.1

1.Partes y objeto

Entre:

Este contrato regula el tratamiento de datos personales introducidos en la plataforma por el Psicólogo, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).

2.Obligaciones del Encargado del Tratamiento

Tratar los datos solo bajo instrucciones del Psicólogo.

Aplicar medidas técnicas y organizativas apropiadas para proteger los datos personales, incluyendo cifrado cuando la naturaleza del dato y la arquitectura del servicio lo permitan.

Anonimizar los datos enviados a sistemas de IA.

Garantizar la confidencialidad y seguridad de los datos.

No usarlos para fines propios ni cederlos sin autorización.

Notificar cualquier brecha de seguridad.

Aplicar, cuando proceda, criterios de minimización y limitación del plazo de conservación sobre datos operativos o transitorios necesarios para el funcionamiento del servicio.

Custodiar las evidencias de aceptación de documentos y consentimientos electrónicos cuando el Psicólogo active dichos flujos, incluyendo documento, firma, fecha, IP, navegador y PDF generado.

Eliminar o devolver los datos a petición del Psicólogo.

3.Subencargados autorizados

Supabase Inc. – almacenamiento y base de datos.

OpenAI Inc. – procesamiento con IA.

Vercel Inc. – infraestructura de hosting.

Proveedor de correo transaccional configurado – envío de emails operativos, recordatorios, facturas y enlaces de firma de documentos.

Meta Platforms, Inc. – envío de recordatorios de cita por WhatsApp Business Platform, únicamente si el Psicólogo activa expresamente dicha funcionalidad.

Todos ellos con garantías adecuadas según el RGPD.

4.Obligaciones del Psicólogo

Disponer de base legal para tratar los datos de sus pacientes.

No introducir datos innecesarios o no pertinentes.

Aplicar minimización de datos e incluir solo la información imprescindible para la finalidad clínica.

Evitar, cuando no sea necesario, datos identificativos directos en campos de texto libre (por ejemplo, nombre completo, dirección exacta, DNI o teléfono).

No incluir, salvo estricta necesidad profesional o legal, nombres completos, diagnósticos, motivos de consulta u otros datos de salud en títulos o descripciones de eventos, conceptos de factura, títulos de materiales, solicitudes públicas de cita u otros campos operativos de texto libre.

Utilizar, siempre que la plataforma lo permita, la vinculación estructurada del paciente y los campos específicamente diseñados para historia clínica en lugar de introducir datos identificativos o clínicos en textos libres operativos.

Configurar y utilizar de forma minimizada las integraciones y canales externos que active, incluyendo Google Calendar, correo electrónico y WhatsApp.

Usar los números de teléfono de pacientes exclusivamente para finalidades asistenciales u organizativas legítimas, como recordatorios de cita, y nunca para marketing, ventas o comunicaciones no solicitadas.

Custodiar de forma diligente su contraseña y su clave de recuperación, sin compartirlas con terceros.

Usar la plataforma conforme a la ley y su ética profesional.

Informar al paciente del uso de herramientas automatizadas si lo considera necesario.

5.Custodia de claves y limitación de responsabilidad