Encargo de Tratamiento (DPA) — Profesional ↔ Teratuti
Última actualización: 22 de mayo de 2026 Versión: 2026-05-22
Este documento, en cumplimiento del artículo 28 del Reglamento (UE) 2016/679 ("RGPD") y de la LO 3/2018 ("LOPDGDD"), regula el encargo del tratamiento que el Profesional sanitario (Responsable del Tratamiento) confiere a Teratuti, S.L. (Encargado del Tratamiento) sobre los datos personales de sus Pacientes que aloja a través de la plataforma. Forma parte indisoluble de los Términos del Profesional. Su aceptación, junto con los Términos, equivale a la firma del contrato de encargado.
1. Identificación de las partes
Responsable del Tratamiento ("Responsable"): El Profesional sanitario que se ha dado de alta en Teratuti y cuyos datos identificativos figuran en su panel de cuenta. El Responsable es el titular de los datos clínicos que genera con sus Pacientes en el marco de la relación asistencial.
Encargado del Tratamiento ("Encargado"): Teratuti, S.L., con CIF B70930284, domicilio social en Calle Antonio Torres, 7 Bis, 3.º C, 45600 Talavera de la Reina (Toledo), inscrita en el Registro Mercantil de Toledo al Tomo 1783, Folio 73, Hoja TO-47191, Inscripción 1.ª, email hola@teratuti.com. Delegado de Protección de Datos: hola@teratuti.com (indicando "Atn. DPO").
2. Objeto y naturaleza del tratamiento
El Responsable encarga al Encargado el alojamiento, la transmisión y el procesamiento técnico de los datos personales de sus Pacientes que se generen como consecuencia del uso de la plataforma Teratuti, con la finalidad de prestar el servicio sociosanitario al Paciente. El tratamiento se realiza por medios automatizados.
3. Duración
El presente encargo se mantiene en vigor durante toda la duración del contrato del Profesional con Teratuti. Termina automáticamente al cesar dicha relación, con las obligaciones de devolución y supresión establecidas en la sección 12.
4. Tipo de datos personales tratados
| Categoría | Ejemplos |
|---|---|
| Identificativos del Paciente | Nombre, apellidos, foto de perfil |
| Contacto | Email, teléfono, idioma |
| Cuenta | Identificador interno, fecha de alta, consentimientos |
| Datos de salud (categoría especial — art. 9 RGPD) | Motivo de la consulta, contenido del chat clínico, notas de sesión, materiales clínicos compartidos, resultados de cuestionarios y juegos diagnósticos, metadatos de las sesiones |
| Datos de uso de la plataforma | Reservas, asistencia a sesiones, mensajes, valoración media |
| Datos de pago (limitados) | Importe, modalidad, identificadores de transacción (no se almacena la PAN, tokenizada por Stripe) |
5. Categorías de interesados
Pacientes (personas físicas) que reservan o reciben servicios sanitarios del Responsable a través de la plataforma de Teratuti.
6. Finalidades del tratamiento
El Encargado tratará los datos exclusivamente para las siguientes finalidades, conforme a las instrucciones documentadas del Responsable:
a) Permitir el acceso del Paciente al servicio del Responsable (alta, autenticación, agenda, reservas). b) Hospedar y transmitir las comunicaciones (chat, materiales, videoconsulta) y los datos clínicos generados durante la relación asistencial. c) Gestionar los pagos del Paciente al Responsable a través de Stripe Connect. d) Conservar la información durante los plazos establecidos en la sección 11. e) Proporcionar al Responsable las herramientas técnicas para cumplir su obligación de elaborar y custodiar la historia clínica conforme al artículo 14 de la Ley 41/2002. f) Atender las solicitudes de derechos de los interesados que se canalicen a través de la plataforma, dando traslado al Responsable.
7. Obligaciones del Encargado
7.1. Tratamiento conforme a instrucciones. Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluyendo las relativas a transferencias internacionales. Si el Encargado considera que una instrucción infringe el RGPD u otras normas de protección de datos aplicables, lo comunicará inmediatamente al Responsable.
7.2. Confidencialidad. Garantizar que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria. El personal del Encargado y de sus subencargados está sometido al secreto profesional.
7.3. Medidas de seguridad (art. 32 RGPD). Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
a) Cifrado de los datos en reposo y en tránsito (TLS 1.3 mínimo). b) Control de accesos basado en roles y principio de mínimo privilegio. c) Autenticación reforzada del personal. d) Registros de auditoría sobre accesos a datos clínicos. e) Separación de entornos de desarrollo, prueba y producción. f) Copias de seguridad regulares con cifrado. g) Procedimiento de detección, gestión y comunicación de brechas. h) Formación periódica del personal en protección de datos. i) Gestión de vulnerabilidades y parcheado.
7.4. Subencargados. El Encargado no contratará subencargados sin autorización general previa del Responsable. El Responsable, mediante la aceptación del presente DPA, autoriza con carácter general el recurso a los subencargados detallados en el Anexo I, que podrá actualizarse.
7.5. Cambios en subencargados. Antes de incorporar nuevos subencargados o sustituir los existentes, el Encargado informará al Responsable con un preaviso razonable de al menos quince (15) días naturales. Durante ese plazo, el Responsable puede oponerse motivadamente. La oposición debe fundamentarse en motivos razonables relacionados con la protección de los datos. Si la oposición es fundada y no es posible mantener la prestación del servicio sin el nuevo subencargado, cualquiera de las partes podrá rescindir la relación.
7.6. Asistencia al Responsable. Asistir al Responsable, mediante medidas técnicas y organizativas apropiadas, en:
a) La atención de las solicitudes que ejerciten los derechos de los interesados (artículos 15 a 22 RGPD): el Encargado dará traslado al Responsable de cualquier solicitud que reciba directamente. b) El cumplimiento de las obligaciones de los artículos 32 a 36 RGPD: seguridad, brechas, evaluaciones de impacto y consulta previa, en la medida que el Responsable lo requiera.
7.7. Brechas de seguridad. Notificar al Responsable, sin dilación indebida y a más tardar en un plazo de veinticuatro (24) horas desde su conocimiento, cualquier brecha de seguridad que afecte a los datos del Responsable, facilitando la información necesaria para que el Responsable pueda cumplir sus obligaciones de los artículos 33 y 34 RGPD.
7.8. Información y auditoría. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD, y permitir y contribuir a auditorías, incluidas inspecciones, realizadas por el Responsable o por un auditor independiente designado por el Responsable. El Responsable asume el coste razonable de dichas auditorías cuando no estén motivadas por incumplimiento atribuible al Encargado. Como sustitutivos válidos, el Encargado puede aportar:
a) Las certificaciones independientes vigentes (ISO 27001, SOC 2, etc.). b) Los informes de cumplimiento de sus subencargados (Stripe, Google, 100ms).
7.9. No transferir datos a terceros salvo en los supuestos autorizados (subencargados, requerimientos de autoridades, instrucciones del Responsable).
7.10. Registro de actividades. Llevar el registro de actividades de tratamiento por encargo conforme al artículo 30.2 RGPD.
8. Obligaciones del Responsable
8.1. Calidad del consentimiento. El Responsable garantiza que dispone, respecto de cada Paciente, del consentimiento informado u otra base legitimadora válida para el tratamiento clínico que realiza, incluyendo la habilitación del 9.2.h) RGPD por su condición de profesional sanitario sujeto al deber de secreto.
8.2. Información a los interesados. El Responsable cumple sus deberes de información del artículo 13 RGPD frente a sus Pacientes.
8.3. Custodia de la historia clínica. El Responsable mantiene la responsabilidad sobre la elaboración, contenido, actualización y custodia de la historia clínica conforme a la Ley 41/2002, sin perjuicio del alojamiento técnico que presta el Encargado.
8.4. Instrucciones documentadas. El Responsable da sus instrucciones a través de la plataforma y, en su caso, por escrito al DPO.
9. Transferencias internacionales
9.1. Subencargados con sede fuera del EEE. Algunos subencargados (Stripe LLC, Google LLC, 100ms Inc., Apple Inc.) tienen estructura corporativa que implica transferencias internacionales fuera del EEE.
9.2. Garantías. El Encargado se ampara en:
a) Decisiones de Adecuación, en particular el EU-US Data Privacy Framework, respecto de los importadores estadounidenses certificados. b) Cláusulas Contractuales Tipo aprobadas por la Decisión (UE) 2021/914. c) Medidas suplementarias post-Schrems II descritas en la sección 8 de la Política de Privacidad.
9.3. El Responsable autoriza estas transferencias mediante la aceptación de este DPA.
10. Datos de categoría especial (salud)
10.1. Tratamiento limitado al estrictamente necesario. Los datos de salud que se hospedan en Teratuti son los estrictamente necesarios para que el Responsable preste su servicio.
10.2. Acceso del personal del Encargado. Limitado a los casos de soporte técnico solicitado por el Responsable, investigación de disputas, requerimientos legales y auditorías. Cada acceso se registra.
10.3. Cifrado adicional. Los campos de notas y materiales clínicos se cifran adicionalmente cuando ello sea técnicamente factible.
10.4. Sin uso para mejora de producto. El Encargado no utiliza los datos clínicos para entrenar modelos de IA, mejorar productos ni con cualquier otra finalidad propia, salvo consentimiento explícito y separado del Paciente, en su caso solicitado por el Encargado o por el Responsable.
11. Conservación
11.1. Mientras dure la relación entre el Profesional y el Paciente, los datos se conservan activos.
11.2. Tras el cese de la relación, los datos clínicos se conservan al menos cinco (5) años desde el alta del proceso asistencial, conforme al artículo 17.1 de la Ley 41/2002, o el plazo superior aplicable según la normativa autonómica que sea exigible al Responsable.
11.3. Tras el plazo de conservación obligatorio, los datos se bloquean conforme al artículo 32 LOPDGDD durante el plazo de prescripción de las posibles responsabilidades, y posteriormente se eliminan.
12. Devolución y supresión al término del encargo
12.1. Al cesar la relación entre el Profesional y Teratuti, el Encargado pondrá a disposición del Responsable la totalidad de los datos clínicos en un formato estructurado, de uso común y de lectura mecánica, durante un plazo razonable (mínimo 30 días).
12.2. Transcurrido ese plazo, el Encargado procederá a la supresión o bloqueo de los datos, según la instrucción documentada del Responsable y las obligaciones legales que apliquen.
12.3. Datos retenidos por obligación legal. El Encargado conserva los datos cuya retención venga impuesta por la ley (p. ej., facturación durante 6 años, AML durante 10 años, historia clínica durante 5 años desde alta del proceso). En tales casos, el Encargado los aísla y los protege con las medidas adecuadas.
13. Responsabilidad
13.1. Cada parte responde frente a la otra de los daños que cause por incumplimiento de sus obligaciones bajo el RGPD y este DPA, conforme al artículo 82 RGPD.
13.2. El Encargado mantiene indemne al Responsable frente a sanciones que la Autoridad de Control imponga al Responsable por causa exclusiva imputable al Encargado, y viceversa.
13.3. Tope de responsabilidad. Salvo dolo o culpa grave, la responsabilidad del Encargado bajo este DPA se limita conforme a la sección 15.3 de los Términos del Profesional, sin perjuicio de las normas imperativas que prohíban dicha limitación.
14. Modificación
Las modificaciones del presente DPA se sujetan al régimen previsto en la sección 19 de los Términos del Profesional, sin perjuicio de las modificaciones que vengan impuestas por la legislación europea o nacional de protección de datos, que entrarán en vigor en la fecha que ésta determine.
15. Ley aplicable y jurisdicción
Este DPA se rige por la legislación española y europea de protección de datos. Las controversias se someten al fuero previsto en la sección 20 de los Términos del Profesional.
Anexo I — Subencargados autorizados
| Subencargado | Función | Sede de la entidad contratante | Garantía de transferencia |
|---|---|---|---|
| Stripe Payments Europe, Limited | Procesamiento de pagos, KYC del Profesional | Irlanda | DPF + SCC UE 2021. Stripe DPA |
| Google Ireland Limited (Firebase / Google Cloud) | Hosting (Firestore, Cloud Functions, Storage), autenticación, push (FCM), captura de errores | Irlanda | DPF + SCC UE 2021. Google Cloud DPA |
| Google Ireland Limited (Workspace SMTP) | Envío de emails transaccionales | Irlanda | DPA Workspace + SCC UE 2021 |
| 100ms Inc. | Infraestructura de videoconsulta (audio/vídeo, señalización) | Estados Unidos / India | SCC UE 2021 + medidas técnicas reforzadas |
| Apple Distribution International Ltd. | Push iOS (APNs) | Irlanda | DPF + SCC |
Nota. Teratuti está revisando la posibilidad de migrar la infraestructura de videoconsulta a un proveedor con residencia europea declarada por defecto, con el objetivo de reducir aún más la superficie de transferencia internacional para datos de salud. Cualquier cambio se notificará conforme a la sección 7.5.
Anexo II — Medidas técnicas y organizativas de seguridad (art. 32 RGPD)
Teratuti aplica las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en particular respecto a datos de salud (art. 9 RGPD). Estas medidas se revisan al menos anualmente y se actualizan en función de la evolución técnica y de las amenazas conocidas.
A. Cifrado y protección criptográfica
- Cifrado en tránsito mediante TLS 1.3 con suites modernas; HSTS habilitado en dominios principales.
- Cifrado en reposo por defecto en Firestore, Cloud Storage, Cloud SQL y respaldos, gestionado por Google Cloud (AES-256).
- Cifrado adicional a nivel de campo en notas clínicas y materiales sensibles cuando sea técnicamente factible.
- Tokens de sesión rotatorios con expiración; secretos gestionados con Google Secret Manager.
B. Control de accesos
- Autenticación multifactor obligatoria para el personal de Teratuti con acceso a entornos de producción.
- Roles y permisos basados en el principio de mínimo privilegio (Cloud IAM).
- Bitácora de cada acceso del personal a datos clínicos, conservada al menos 12 meses y accesible al DPO.
- Revisión trimestral de accesos activos y revocación inmediata al cesar la necesidad.
C. Segregación de entornos
- Separación lógica de entornos de desarrollo, staging y producción.
- Datos de producción nunca utilizados en desarrollo ni pruebas; los datasets de prueba se generan sintéticamente.
D. Respaldo y continuidad
- Copias de seguridad automáticas diarias de Firestore con cifrado y retención mínima de 30 días.
- Plan de continuidad y recuperación con objetivos de RPO ≤ 24h y RTO ≤ 24h para los servicios críticos.
- Pruebas de restauración al menos anuales.
E. Gestión de vulnerabilidades
- Análisis automatizado de dependencias (Dependabot u homólogo) sobre los repositorios.
- Actualizaciones de seguridad aplicadas en plazo razonable según severidad (crítico ≤ 7 días).
- Revisión de configuraciones de seguridad de los servicios cloud al menos semestralmente.
F. Detección y respuesta a incidentes
- Monitorización de logs de la plataforma y alertas automáticas sobre comportamientos anómalos (accesos atípicos, picos de error, intentos de fuerza bruta).
- Procedimiento documentado de gestión de brechas: detección → contención técnica → evaluación de riesgo por el DPO → notificación a la AEPD en ≤ 72 h cuando proceda (art. 33 RGPD) → comunicación a afectados cuando el riesgo sea alto (art. 34 RGPD) → registro en el Libro de Brechas.
G. Protección de la videoconsulta
- Salas efímeras generadas con JWT de vida corta; sin grabación por defecto.
- Token único por sesión y participante.
- Cifrado de medios extremo a extremo cuando el proveedor lo soporte; en cualquier caso, cifrado en tránsito.
H. Pseudonimización y minimización
- Identificadores internos (UID) desacoplados de los datos identificativos en logs técnicos.
- Datos clínicos accesibles únicamente al Profesional responsable y al personal de Teratuti estrictamente autorizado por las funciones de soporte y disputa.
I. Gobernanza y formación
- Designación de Delegado de Protección de Datos accesible en hola@teratuti.com (con "Atn. DPO").
- Formación periódica del personal en RGPD, secreto sanitario y seguridad de la información.
- Cláusulas contractuales con todos los subencargados que reproducen las garantías del art. 28 RGPD.
- Acuerdos de confidencialidad firmados por todo el personal con acceso a datos personales.
J. Subencargados y transferencias internacionales
- Listado actualizado en el Anexo I, con garantías DPF / SCC UE 2021 y medidas suplementarias post-Schrems II detalladas en la sección 8 de la Política de Privacidad.
- Regiones europeas de almacenamiento siempre que el servicio lo permita técnicamente.
K. Eliminación segura
- Procedimiento documentado de borrado de datos al finalizar la relación o ejercer el derecho de supresión, respetando las retenciones legales obligatorias.
- Eliminación de copias de seguridad históricas al expirar su plazo de retención.
Una versión más detallada de las medidas (configuraciones específicas, runbooks operativos, mapeo a controles ISO 27001/SOC 2) está disponible para el Responsable a solicitud razonada al DPO, sujeta a deber de confidencialidad por la sensibilidad de los detalles técnicos.
Documento de referencia interna: 09-DPA-PROFESIONAL.md — Versión 2026-05-22.