Contrato de Encargo de Tratamiento (DPA)

1. Objeto

El presente contrato regula las condiciones en las que AppoClick, como Encargado del Tratamiento, trata datos personales de los pacientes en nombre de la clínica (Responsable del Tratamiento), conforme al artículo 28 del RGPD y la LOPDGDD.

2. Datos tratados

• Categorías de interesados: pacientes de la clínica
• Tipos de datos: nombre, email, teléfono, fecha y hora de la cita, servicio contratado, tipo de cita (primera visita o revisión), modalidad (presencial u online), enlace de videollamada cuando la modalidad es online, e identificador único asignado por el sistema para la gestión de la cita por parte del paciente (cancelación o reprogramación desde su email de confirmación)
• No se tratan: historiales médicos, diagnósticos, datos clínicos ni contenido sanitario. AppoClick no dispone de campos de texto libre para que el paciente o la clínica introduzcan información clínica

3. Obligaciones de AppoClick

• Tratar los datos únicamente según las instrucciones documentadas del Responsable
• No utilizar los datos para fines propios ni cederlos a terceros
• Garantizar que las personas autorizadas para tratar datos se han comprometido a respetar la confidencialidad
• Implementar medidas técnicas y organizativas adecuadas (Art. 32 RGPD)
• Asistir al Responsable en el cumplimiento de sus obligaciones RGPD (derechos de los interesados, notificación de brechas, evaluaciones de impacto)
• Suprimir o devolver los datos al término del contrato, salvo obligación legal de conservación
• Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento

4. Subencargados

AppoClick utiliza los siguientes subencargados del tratamiento, con los que mantiene contratos equivalentes al presente DPA:

La integración con Google Calendar es opcional y se activa únicamente cuando la clínica conecta su cuenta de Google desde el panel. En ese caso, AppoClick transmite a Google Calendar el nombre del paciente, la fecha y hora de la cita, el servicio contratado y el identificador único de la cita. Si la clínica no conecta Google Calendar, no se realiza transferencia alguna a Google.

El Responsable autoriza al Encargado a contratar nuevos subencargados, previa notificación. El Responsable puede oponerse en un plazo de 15 días.

5. Transferencias internacionales

Las transferencias a países fuera del EEE se realizan exclusivamente con garantías adecuadas: Cláusulas Contractuales Tipo de la Comisión Europea o Data Privacy Framework UE-EE.UU.

6. Medidas de seguridad

• Cifrado HTTPS/TLS en todas las comunicaciones
• Cifrado en reposo de la base de datos (proporcionado por el subencargado de hosting de base de datos)
• Separación de datos por clínica mediante Row-Level Security en la base de datos
• Autenticación segura con segundo factor (2FA) obligatorio para los usuarios del panel de la clínica
• Identificadores únicos por cita con caducidad para la gestión por parte del paciente
• Rate limiting en endpoints públicos de autenticación, registro y reserva de citas para protección frente a abuso y fuerza bruta
• Verificación criptográfica (HMAC) de la firma de los webhooks recibidos de subencargados
• Mecanismo de idempotencia que impide procesar dos veces el mismo evento externo
• Auditoría del acceso de soporte: las sesiones de impersonación por parte del personal de AppoClick requieren un token de un solo uso con caducidad máxima de 60 minutos y se registran para trazabilidad
• Registro de las eliminaciones de datos de pacientes solicitadas por la clínica, conservando únicamente el email afectado, fecha y autor del borrado, para acreditar el cumplimiento de las solicitudes ARCO
• Aislamiento de credenciales y secretos en el servidor: ningún secreto ni clave de API se expone en el código que se entrega al navegador del cliente
• Backups automáticos cifrados gestionados por el subencargado de base de datos
• Notificación de brechas de seguridad a la AEPD en menos de 72 horas desde su conocimiento, conforme al art. 33 RGPD

7. Obligaciones de la clínica

• Garantizar la base legal para el tratamiento de datos de pacientes
• Informar a los pacientes sobre el tratamiento de sus datos
• Atender los derechos ARCO de los pacientes (acceso, rectificación, supresión, portabilidad)
• No introducir datos especialmente protegidos (origen étnico, salud detallada, orientación sexual) en los campos de texto libre de AppoClick

Gestión de solicitudes de supresión (derecho al olvido): el sistema identifica a los pacientes por dirección de email. Si un mismo paciente ha realizado reservas utilizando emails distintos, la clínica deberá eliminar sus datos de forma separada para cada email utilizado, desde el panel Pacientes. La identificación de todos los emails asociados a un paciente es responsabilidad de la clínica como Responsable del Tratamiento.

Recordatorios por WhatsApp: la funcionalidad de recordatorios por WhatsApp que ofrece AppoClick consiste en preparar el texto del recordatorio y ponerlo a disposición de la clínica (por email matinal o desde el panel). AppoClick no envía mensajes a través de WhatsApp Business API ni de ningún otro canal de mensajería instantánea. La transmisión efectiva del recordatorio al paciente vía WhatsApp se realiza por iniciativa y bajo la responsabilidad de la clínica desde su propia cuenta personal de WhatsApp, quedando fuera del ámbito de tratamiento del Encargado.

8. Duración y resolución

Este contrato tiene la misma duración que la relación de servicio entre AppoClick y la clínica. Al finalizar, AppoClick suprimirá los datos en un plazo máximo de 30 días, salvo obligación legal de conservación. La clínica puede solicitar una copia de los datos antes de la supresión.

9. Responsabilidad

Cada parte responderá de los daños causados por el incumplimiento de sus obligaciones conforme al RGPD. AppoClick responde por los daños derivados del tratamiento si ha actuado al margen de las instrucciones del Responsable o incumpliendo sus obligaciones como Encargado.

10. Legislación aplicable

Este contrato se rige por el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 de Protección de Datos (LOPDGDD) y la legislación española. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de Las Palmas de Gran Canaria.

Autoridad de control competente: Agencia Española de Protección de Datos (AEPD) — www.aepd.es