Volver

Acuerdo de Encargado del Tratamiento (DPA)

Contrato de Encargado del Tratamiento de Datos Personales conforme al Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Última actualización: Enero 2026

1. Partes

RESPONSABLE DEL TRATAMIENTO (en adelante, "Responsable" o "Cliente"):

La clínica, centro médico o profesional sanitario que contrata los servicios de SmartCalendar y que introduce datos de pacientes en la plataforma.

ENCARGADO DEL TRATAMIENTO (en adelante, "Encargado"):

  • Titular: Cristian Alonso Fiz
  • NIF: 44477951E
  • Nombre comercial: SmartCalendar.io
  • Email de contacto: admin@smartcalendar.io

2. Objeto del Encargo

El presente acuerdo tiene por objeto regular el acceso y tratamiento por parte del Encargado de los datos personales de los pacientes del Responsable, con la única finalidad de:

  • Gestionar la agenda de citas del Responsable
  • Enviar recordatorios de citas por WhatsApp y/o SMS a los pacientes
  • Permitir confirmaciones, cancelaciones y reprogramaciones de citas
  • Proporcionar asistencia mediante inteligencia artificial para la gestión de agenda

3. Datos Tratados

3.1 Categorías de datos

  • Datos identificativos: nombre y apellidos del paciente
  • Datos de contacto: número de teléfono móvil
  • Datos de citas: fecha, hora, tipo de servicio, notas (introducidas por el Responsable)
  • Datos de interacción: confirmaciones, cancelaciones, mensajes intercambiados

3.2 Datos especialmente protegidos

SmartCalendar NO solicita ni procesa datos de salud propiamente dichos. El tipo de servicio (ej: "fisioterapia", "revisión dental") no constituye dato de salud según la interpretación del RGPD, ya que no revela información sobre el estado de salud del paciente.

Importante: El Responsable se compromete a NO incluir en las notas de citas información médica sensible como diagnósticos, tratamientos específicos o historial clínico.

4. Obligaciones del Encargado

El Encargado se compromete a:

  1. Confidencialidad: Tratar los datos únicamente según las instrucciones documentadas del Responsable y no utilizarlos para fines propios.
  2. Seguridad: Implementar medidas técnicas y organizativas apropiadas:
    • Cifrado de datos en tránsito (HTTPS/TLS)
    • Cifrado de datos en reposo
    • Control de accesos basado en roles
    • Copias de seguridad automáticas
    • Monitorización y alertas de seguridad
  3. Subencargados: Informar sobre los subencargados utilizados:
    • Supabase (base de datos) - Servidores en la UE
    • Vercel (hosting) - Servidores en la UE
    • Stripe (procesamiento de pagos) - Stripe Europe, Irlanda, UE
    • Twilio (envío de WhatsApp/SMS) - EE.UU., cláusulas contractuales tipo
    • Meta (WhatsApp) (infraestructura de mensajería) - EE.UU., cláusulas contractuales tipo
    • Google (Calendar, Contacts; solo si el Responsable activa la integración) - UE cuando se usa región UE
    • Anthropic (IA: SmartResponse, predicción de riesgo de cancelación, Asistente de Agenda) - EE.UU. Procesa datos personales: nombre del paciente, contenido de mensajes WhatsApp, historial de citas. Cláusulas contractuales tipo.
  4. Asistencia: Ayudar al Responsable a atender el ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición).
  5. Notificación de brechas: Comunicar al Responsable cualquier violación de seguridad en un plazo máximo de 72 horas.
  6. Devolución o destrucción: Al finalizar la relación, devolver o eliminar todos los datos en un plazo de 30 días, salvo obligación legal de conservación.

5. Obligaciones del Responsable

El Responsable se compromete a:

  1. Base legitimadora: Garantizar que dispone de base legal para el tratamiento de los datos de sus pacientes (consentimiento, ejecución de contrato de servicios médicos, o interés legítimo).
  2. Información a pacientes: Informar a sus pacientes de que sus datos de contacto serán utilizados para el envío de recordatorios de citas a través de un servicio externo (SmartCalendar).
  3. Exactitud: Asegurar que los datos introducidos son exactos y actualizados.
  4. Instrucciones lícitas: Dar instrucciones de tratamiento conformes a la normativa vigente.

6. Medidas de Seguridad Específicas

MedidaImplementación
AutenticaciónEmail + contraseña, OAuth (Google)
AutorizaciónRow Level Security (RLS) por clínica
Cifrado en tránsitoTLS 1.3
Cifrado en reposoAES-256 (Supabase)
Logs de auditoríaRegistro de accesos y modificaciones
BackupsDiarios, retención 30 días
Aislamiento de datosCada clínica solo accede a sus propios datos

7. Duración

Este acuerdo estará vigente mientras el Responsable mantenga una suscripción activa con SmartCalendar. Las obligaciones de confidencialidad permanecerán tras la finalización del servicio.

8. Transferencias Internacionales

Algunos subencargados pueden procesar datos fuera del Espacio Económico Europeo. En estos casos, se garantiza la protección mediante:

  • Cláusulas Contractuales Tipo de la Comisión Europea
  • Decisiones de adecuación (cuando aplique)
  • Certificaciones y marcos de cumplimiento (SOC 2, ISO 27001)

9. Aceptación

Al marcar la casilla de aceptación durante el registro en SmartCalendar, el Responsable declara haber leído, comprendido y aceptado los términos de este Acuerdo de Encargado del Tratamiento.

Contacto para protección de datos

Para cualquier consulta relacionada con la protección de datos, puede contactarnos en: admin@smartcalendar.io