Versión 1.0 · Última actualización 2026-05-09
# Contrato de encargo de tratamiento de datos personales
**Borrador. Revisar con asesor antes de firmar con cliente real.**
Plantilla pensada para que FisioAssist (encargado) y cada clínica usuaria
(responsable) regulen el tratamiento de los datos personales de los pacientes
de la clínica. Se aplica el art. 28 del Reglamento (UE) 2016/679 (RGPD) y la
Ley Orgánica 3/2018 (LOPDGDD).
---
## Reunidos
- De una parte, **{{NOMBRE_CLINICA}}**, con NIF **{{NIF_CLINICA}}** y
domicilio en **{{DOMICILIO_CLINICA}}**, en adelante **el Responsable**.
- De otra parte, **Jose Miguel Casas Pagán**, con NIF **[PENDIENTE: NIF]** y
domicilio en **[PENDIENTE: domicilio fiscal]**, titular del servicio
FisioAssist (fisioassist.app), en adelante **el Encargado**.
Ambas partes se reconocen capacidad legal suficiente y suscriben el presente
acuerdo.
## 1. Objeto
El Responsable contrata al Encargado el servicio FisioAssist para gestionar
pacientes, agenda de citas, recordatorios automáticos por WhatsApp y correo,
así como otras funcionalidades operativas. La prestación del servicio implica
necesariamente el acceso del Encargado a datos personales tratados por el
Responsable.
## 2. Identificación de los tratamientos
| Tipo de dato | Origen | Destinatarios |
|---|---|---|
| Datos identificativos del paciente (nombre, teléfono, email) | Aportados por el Responsable | Encargado y sub-encargados (ver Anexo) |
| Datos de salud relacionados con la atención fisioterapéutica | Aportados por el Responsable | Encargado y sub-encargados (ver Anexo) |
| Datos de las citas y comunicaciones (recordatorios, confirmaciones) | Generados por el uso del servicio | Encargado y sub-encargados (ver Anexo) |
## 3. Duración
El presente contrato tendrá la misma duración que la relación de prestación
del servicio. A su finalización, el Encargado, conforme a las instrucciones
del Responsable, devolverá o suprimirá los datos en los términos del apartado
9.
## 4. Obligaciones del Encargado
El Encargado se compromete a:
a) Tratar los datos personales únicamente conforme a las instrucciones
documentadas del Responsable, incluso en lo relativo a transferencias
internacionales.
b) Garantizar que las personas autorizadas para tratar datos se han
comprometido a respetar la confidencialidad o están sujetas a una obligación
legal de confidencialidad.
c) Adoptar las medidas técnicas y organizativas apropiadas (art. 32 RGPD)
descritas en el Anexo II.
d) No subcontratar otros encargados de tratamiento sin autorización previa
del Responsable. La autorización es general para los sub-encargados listados
en el Anexo I; cualquier alta o cambio se notificará con antelación
razonable, dando al Responsable la posibilidad de oponerse.
e) Asistir al Responsable, en la medida de lo posible y mediante medidas
técnicas y organizativas apropiadas, en la atención de las solicitudes de
ejercicio de derechos.
f) Asistir al Responsable en el cumplimiento de sus obligaciones (arts. 32 a
36 RGPD), en particular en materia de seguridad, notificación de violaciones
de seguridad, evaluaciones de impacto y consulta previa.
g) Notificar al Responsable, sin dilación indebida y a más tardar en 72 horas
desde su conocimiento, cualquier violación de la seguridad de los datos
personales, junto con la información razonablemente disponible para que el
Responsable pueda cumplir su obligación de notificación a la AEPD.
h) Poner a disposición del Responsable toda la información necesaria para
demostrar el cumplimiento de las obligaciones aquí establecidas, así como
permitir y contribuir a auditorías razonables.
## 5. Obligaciones del Responsable
El Responsable se compromete a:
a) Entregar al Encargado únicamente los datos estrictamente necesarios.
b) Informar a los pacientes del tratamiento de sus datos conforme al art. 13
RGPD, incluyendo la cesión a FisioAssist como encargado.
c) Recabar el consentimiento explícito del paciente antes de activar el envío
de comunicaciones por WhatsApp (campo «opt-in» en la ficha del
paciente).
d) Realizar las evaluaciones de impacto y consultas previas que correspondan
en función del riesgo del tratamiento.
## 6. Confidencialidad
Las partes se comprometen a guardar confidencialidad sobre los datos a los que
tengan acceso por razón del presente acuerdo, obligación que subsistirá tras
la finalización del mismo.
## 7. Ubicación del tratamiento
Los datos se tratan principalmente en infraestructura ubicada en la Unión
Europea (Supabase Frankfurt y Vercel/Fly.io en regiones europeas, según el
caso). Cuando un sub-encargado implique transferencia internacional fuera del
EEE se aplicarán las cláusulas contractuales tipo aprobadas por la Comisión
Europea u otras garantías adecuadas.
## 8. Sub-encargados
El Responsable autoriza al Encargado a contratar a los sub-encargados
listados en el Anexo I. La incorporación de un nuevo sub-encargado se
notificará al Responsable con antelación razonable; éste podrá oponerse por
motivos legítimos relacionados con la protección de datos.
## 9. Devolución o supresión
A la finalización del servicio, y a elección del Responsable, el Encargado:
- Devolverá los datos al Responsable en formato estructurado y de uso común
(procedimiento de exportación documentado), o
- Procederá a la supresión definitiva de los datos.
En cualquier caso, las copias de seguridad serán objeto de borrado en los
plazos previstos por la política interna del Encargado, sin exceder un plazo
razonable.
## 10. Responsabilidad
Cada parte responderá frente a la otra y frente a terceros del incumplimiento
de las obligaciones que le competen conforme al RGPD, la LOPDGDD y el presente
contrato.
## 11. Ley aplicable y jurisdicción
El presente contrato se rige por la legislación española y de la Unión
Europea aplicable. Las partes se someten a los Juzgados y Tribunales del
domicilio del Responsable, salvo norma imperativa en contrario.
---
## Anexo I — Sub-encargados autorizados
Ver `docs/legal/sub-encargados.md`. La versión vigente prevalece sobre
cualquier copia impresa.
## Anexo II — Medidas técnicas y organizativas
- Cifrado en tránsito (TLS 1.2+).
- Cifrado en reposo a nivel de proveedor (Supabase, Vercel).
- Control de acceso basado en roles, con políticas de seguridad a nivel de
fila en la base de datos (Row-Level Security) y aislamiento por clínica.
- Copias de seguridad automatizadas y revisadas periódicamente.
- Registro de eventos relevantes (auditoría de accesos administrativos).
- Procedimiento documentado de gestión de derechos del interesado y de
notificación de brechas (`docs/legal/procedimiento-derechos.md`).
- Revisión periódica de las medidas en función de la evolución del estado
del arte y del riesgo del tratamiento.
---
Firmas:
**El Responsable**
Nombre: ______________________________
Fecha: ______________________________
**El Encargado**
Nombre: Jose Miguel Casas Pagán
Fecha: ______________________________