Acuerdo de Encargo de Tratamiento (DPA)

Acuerdo de tratamiento de datos personales conforme al RGPD

Versión 1.0 | Diciembre 2025

1Introducción y Partes

El presente Acuerdo de Encargo de Tratamiento (en adelante, el "Acuerdo" o "DPA") forma parte integrante de las Condiciones de Contratación que regulan el uso de la plataforma TherapyRecap. La aceptación electrónica de dichas Condiciones de Contratación por parte del Usuario implica la aceptación plena y sin reservas del presente Acuerdo.

Este Acuerdo detalla las obligaciones y condiciones bajo las cuales TherapyRecap trata datos personales por cuenta del Usuario en la prestación de sus servicios, en estricto cumplimiento del artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la normativa española aplicable.

Encargado del Tratamiento

TherapyRecap

Sergio Cortijo Castillejo

info@therapyrecap.com

Responsable del Tratamiento

El Usuario

El profesional de la psicología que contrata la licencia de uso de TherapyRecap

2Objeto, Naturaleza y Finalidad del Tratamiento

2.1. Objeto: El objeto del presente Acuerdo es regular el tratamiento de datos personales que el Encargado realizará por cuenta del Responsable para la correcta prestación del servicio de la plataforma TherapyRecap.

2.2. Naturaleza y Finalidad: El tratamiento consistirá en la recogida, registro, estructuración, conservación, consulta, utilización, comunicación por transmisión y supresión de los datos de los pacientes del Responsable. La finalidad exclusiva es la prestación de los servicios de transcripción de las sesiones de terapia mediante modelos de inteligencia artificial (IA) y la generación de análisis y sugerencias de apoyo al diagnóstico y tratamiento profesional.

2.3. Tipología de Datos Personales:

  • Datos Identificativos: Nombre, apellidos, etc., revelados durante las sesiones.
  • Datos Audiovisuales: Imagen y voz de los intervinientes en las sesiones.
  • Categorías Especiales (Art. 9 RGPD): Datos relativos a la salud (específicamente salud mental), origen étnico, opiniones políticas, convicciones religiosas, vida u orientación sexual.
  • Otros Datos: Características personales, circunstancias sociales, detalles de empleo, hábitos y comportamientos.

2.4. Categorías de Interesados: Los datos tratados corresponderán exclusivamente a los pacientes del Responsable del Tratamiento.

3Duración

El presente Acuerdo tendrá la misma duración que el contrato de prestación de servicios suscrito entre las partes (las Condiciones de Contratación), incluyendo sus eventuales prórrogas. La finalización del servicio principal conllevará la resolución automática del presente Acuerdo.

4Obligaciones del Encargado del Tratamiento

4.1. Instrucciones del Responsable

Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable. No tratará los datos con un fin distinto al de la prestación del Servicio. Si el Encargado considera que una instrucción infringe la normativa de protección de datos, informará inmediatamente al Responsable.

4.2. Deber de Confidencialidad

Garantizar que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria.

4.3. Medidas de Seguridad

Implementar y mantener las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD:

a) Medidas Organizativas

  • • Confidencialidad del personal por vía contractual
  • • Programas de formación en protección de datos
  • • Gestión y evaluación de subencargados
  • • Políticas internas y procedimientos de brechas de seguridad

b) Protección de Datos desde el Diseño

  • Anonimización: Eliminación de datos identificativos antes del procesamiento IA
  • Limitación del plazo: Supresión en máximo 30 días
  • Acceso seguro: Resultados solo accesibles mediante autenticación en plataforma

c) Medidas Técnicas de Seguridad

  • Cifrado en tránsito: HTTPS/TLS para todas las comunicaciones
  • Cifrado en reposo: Datos cifrados en Google Cloud Storage
  • Control de acceso: Principio de mínima necesidad (RBAC)
  • Infraestructura: Google Cloud con certificación ISO 27001
  • Copias de seguridad: Backups periódicos para resiliencia

4.4. Subcontratación (Subencargados del Tratamiento)

El Responsable autoriza expresamente al Encargado a subcontratar los servicios de las siguientes entidades:

SubencargadoServicio
Google Cloud (Gemini)Modelos de IA para transcripción y análisis
Google Cloud StorageAlmacenamiento de ficheros de sesiones
MongoDB AtlasAlmacenamiento de base de datos
ResendServicios de comunicación por email
StripeProcesamiento de pagos

En caso de transferencias internacionales, el Encargado se asegura de que se realizan bajo mecanismos de garantía adecuados (Cláusulas Contractuales Tipo, Marco de Privacidad de Datos UE-EE.UU., etc.).

4.5. Derechos de los Interesados

Asistir al Responsable para que este pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos de los interesados.

4.6. Apoyo al Responsable

Ayudar al Responsable en materia de seguridad (Art. 32 RGPD), notificación de violaciones (Arts. 33 y 34 RGPD) y evaluaciones de impacto (Arts. 35 y 36 RGPD). El Encargado notificará al Responsable, sin dilación indebida, cualquier violación de la seguridad de los datos personales.

4.7. Destino de los Datos

Una vez finalizada la prestación del Servicio, el Encargado suprimirá todos los datos personales. Se establece un periodo máximo de retención de 30 días tras la finalización del servicio para la supresión definitiva.

4.8. Auditorías y Transparencia

Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente Acuerdo, así como permitir y contribuir a la realización de auditorías.

5Obligaciones del Responsable del Tratamiento

5.1. Garantizar que la base de legitimación para el tratamiento de los datos de sus pacientes es el consentimiento explícito, inequívoco e informado de los mismos, de conformidad con los artículos 6.1.a) y 9.2.a) del RGPD.

5.2. Proporcionar a sus pacientes la información requerida por los artículos 13 y 14 del RGPD, incluyendo la relativa al uso de TherapyRecap.

5.3. Realizar su propia Evaluación de Impacto (EIPD) si procede, para lo cual el Encargado prestará la colaboración necesaria.

5.4. Atender las solicitudes de ejercicio de derechos de sus pacientes.

6Responsabilidad

Ambas partes responderán de los daños y perjuicios que, por incumplimiento de la normativa de protección de datos o de las cláusulas del presente Acuerdo, causen a la otra parte o a terceros, de acuerdo con lo establecido en el artículo 82 del RGPD.

7Legislación y Jurisdicción

El presente Acuerdo se rige por la legislación española y la normativa europea de aplicación. Para la resolución de cualquier controversia, las partes se someten a la jurisdicción de los Juzgados y Tribunales de Albacete, con renuncia expresa a cualquier otro fuero.

updateVersión

Versión 1.0 - Fecha de última actualización: 14 de diciembre de 2025

¿Tienes preguntas sobre el tratamiento de datos?

Contáctanos