Información legal

Acuerdo de Encargado de Tratamiento (DPA)

Artículo 28 RGPD · Última actualización: 16 de mayo de 2026 · Versión 1.0 (MVP)

Versión PDF descargable: Próximamente — se publicará una versión firmable y descargable (/legal/dpa.pdf) tras la revisión legal definitiva.

1. Partes y naturaleza del Acuerdo

El presente Acuerdo de Encargado de Tratamiento (en adelante, "DPA") se celebra entre:

  • El Responsable del Tratamiento: el Dietista (o entidad) profesional sanitario colegiado que contrata el Servicio Nutriapp Pro, en su condición de profesional habilitado para el tratamiento de datos de salud de sus pacientes.
  • El Encargado del Tratamiento: Nutriapp Pro, [PENDIENTE: razón social y NIF], con domicilio en [PENDIENTE], que presta servicios SaaS de gestión de consulta dietética.

Este DPA forma parte integrante de los Términos y Condiciones del Servicio y se entiende aceptado por el Responsable mediante la contratación o utilización del mismo. Su finalidad es regular el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable, cumpliendo lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y en el artículo 33 de la LOPDGDD.

2. Objeto del tratamiento

El Encargado tratará, por cuenta del Responsable, los datos personales de los pacientes y demás interesados que el Responsable introduzca o gestione en el Servicio, con el fin de permitirle prestar servicios profesionales de dietética y nutrición. Esto incluye, sin carácter exhaustivo: la elaboración y seguimiento de planes nutricionales, el control antropométrico, la gestión de citas, la comunicación con los pacientes y la documentación de la actividad profesional.

3. Duración

Este DPA estará vigente mientras el Responsable mantenga una relación contractual activa con el Encargado para la prestación del Servicio. Las obligaciones de confidencialidad y de devolución o supresión de los datos subsistirán tras la terminación del contrato, en los términos previstos en la cláusula 11.

4. Naturaleza y finalidades del tratamiento

El tratamiento se realizará exclusivamente con las siguientes finalidades, todas ellas derivadas de la prestación del Servicio:

  • Almacenamiento y organización de los datos clínicos y dietéticos.
  • Ejecución de cálculos antropométricos, energéticos y de macronutrientes.
  • Generación y envío de comunicaciones operativas a los pacientes (citas, recordatorios, mensajes).
  • Generación de informes y exportaciones.
  • Soporte técnico al Responsable, incluyendo, cuando sea estrictamente necesario, el acceso a la información para resolver incidencias previamente notificadas.
  • Funcionalidades opcionales de inteligencia artificial activadas por el Responsable.

El Encargado no utilizará los datos personales con finalidad propia, distinta de la prestación del Servicio, salvo cuando hayan sido anonimizados de forma irreversible.

5. Tipos de datos y categorías de interesados

El tratamiento podrá incluir, entre otros, los siguientes tipos de datos:

  • Datos identificativos del paciente: nombre, apellidos, fecha de nacimiento, sexo, correo electrónico, teléfono.
  • Datos antropométricos y de salud (categoría especial, art. 9 RGPD): peso, talla, perímetros, composición corporal, marcadores analíticos, patologías declaradas, alergias e intolerancias, hábitos.
  • Datos dietéticos: dietas, registros alimentarios, adherencia, reacciones a comidas, fotografías de comida (cuando proceda).
  • Datos de comunicación: mensajes intercambiados a través del chat interno, notificaciones, formularios.
  • Datos de uso: registros de acceso, marcas temporales, dispositivos.

Las categorías de interesados son los pacientes del Responsable y, en su caso, sus representantes legales.

6. Obligaciones del Responsable

  • Garantizar la licitud del tratamiento, recabando los consentimientos informados o disponiendo de la base jurídica adecuada (artículos 6 y 9 RGPD).
  • Cumplir con el deber de información al interesado en los términos de los artículos 13 y 14 RGPD, incluyendo la identidad del Encargado y la existencia del presente DPA.
  • Tramitar y, cuando proceda, dar respuesta a las solicitudes de ejercicio de derechos de los interesados, con la asistencia razonable del Encargado.
  • Determinar los fines y, dentro de los límites del Servicio, los medios del tratamiento, así como instruir al Encargado mediante el uso de las funcionalidades del Servicio o, en su caso, mediante instrucciones expresas remitidas por escrito.
  • Mantener un registro de las actividades de tratamiento conforme al artículo 30 RGPD y realizar, cuando resulte necesario, las evaluaciones de impacto previstas en el artículo 35 RGPD.
  • Mantener el secreto profesional sanitario conforme a la normativa que le resulte aplicable.

7. Obligaciones del Encargado

El Encargado se compromete a:

  • Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluso en materia de transferencias internacionales, salvo obligación legal en contrario, en cuyo caso lo notificará al Responsable con carácter previo, si la legislación aplicable lo permite.
  • Garantizar que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad de naturaleza equivalente.
  • Adoptar las medidas técnicas y organizativas apropiadas, conforme al artículo 32 RGPD, descritas en la cláusula 9.
  • Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, en la atención de las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados (acceso, rectificación, supresión, limitación, oposición y portabilidad), incluyendo herramientas de exportación de datos en formato estructurado.
  • Asistir al Responsable en el cumplimiento de las obligaciones de seguridad, notificación de violaciones y evaluaciones de impacto previstas en los artículos 32 a 36 RGPD.
  • Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente DPA y permitir y contribuir a la realización de auditorías, en los términos previstos en la cláusula 12.
  • Informar inmediatamente al Responsable si, a su juicio, una instrucción infringe la normativa de protección de datos.

8. Subencargados autorizados

El Responsable autoriza, con carácter general, al Encargado a contratar a los siguientes subencargados, debidamente vinculados mediante contratos que garantizan un nivel de protección equivalente al exigido por el RGPD:

  • Supabase, Inc. — alojamiento de base de datos PostgreSQL y servicios de autenticación. Cláusulas Contractuales Tipo aplicables a las transferencias a EE.UU.
  • Vercel Inc. — alojamiento de la aplicación y red de distribución de contenido. Cláusulas Contractuales Tipo aplicables.
  • Resend, Inc. — servicio de envío de correo electrónico transaccional. Cláusulas Contractuales Tipo aplicables.
  • OpenAI, OpCo LLC — funcionalidades opcionales de inteligencia artificial. Sin reentrenamiento sobre los datos del cliente. Cláusulas Contractuales Tipo aplicables.
  • Stripe Payments Europe Ltd. (Dublín, Irlanda) — procesa pagos y facturación recurrente del Encargado. Almacena datos identificativos y de facturación del dietista (no del paciente). Sin acceso a datos clínicos. Certificación PCI-DSS Level 1. Transferencias internacionales bajo Cláusulas Contractuales Tipo (SCCs) Art. 46 RGPD. Política de privacidad de Stripe.

El Encargado informará al Responsable de la incorporación o sustitución de cualquier subencargado con una antelación razonable, ofreciéndole la oportunidad de oponerse motivadamente. En caso de oposición fundada, las partes negociarán de buena fe una solución alternativa; si no se alcanzase, el Responsable podrá resolver el contrato sin penalización.

9. Medidas técnicas y organizativas (Anexo II del artículo 28 RGPD)

El Encargado aplica, entre otras, las siguientes medidas de seguridad:

  • Cifrado: tránsito mediante TLS 1.2 o superior; reposo mediante cifrado de disco/columna a nivel de proveedor de base de datos.
  • Control de acceso: autenticación con contraseña cifrada (algoritmo scrypt), permisos basados en roles (Administrador, Dietista, Cliente), separación de tenants.
  • Registro de auditoría (audit log): almacenamiento de eventos relevantes (logins, cambios sensibles, exportaciones) con marca temporal e identificación del actor.
  • Pseudonimización y anonimización: herramientas de anonimización de datos cuando se generan estadísticas agregadas y, en caso de exportación masiva con fines de investigación, mecanismos de pseudonimización.
  • Exportación RGPD y portabilidad: funcionalidades de descarga de los datos personales en formatos legibles e interoperables.
  • Copias de seguridad y continuidad: copias periódicas de la base de datos, pruebas de restauración y procedimientos formales de recuperación ante desastres.
  • Segregación de entornos: separación de los entornos de desarrollo, pruebas y producción; ausencia de datos reales en entornos no productivos.
  • Gestión de vulnerabilidades: actualizaciones periódicas, monitorización de dependencias y revisión de seguridad de los cambios.
  • Concienciación y formación: instrucciones internas de seguridad y confidencialidad para el personal con acceso a los sistemas.

10. Notificación de violaciones de seguridad

El Encargado notificará al Responsable, sin dilación indebida y, siempre que sea posible, en un plazo máximo de 72 horas desde que haya tenido conocimiento, cualquier violación de la seguridad de los datos personales que pudiera comportar un riesgo para los derechos y libertades de los interesados. La notificación incluirá, al menos:

  • La naturaleza de la violación, las categorías y el número aproximado de interesados afectados.
  • Las categorías y el número aproximado de registros de datos personales afectados.
  • Los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto del Encargado.
  • Las consecuencias probables de la violación.
  • Las medidas adoptadas o propuestas para poner remedio a la violación, incluyendo medidas para mitigar sus posibles efectos.

El Encargado asistirá al Responsable en sus obligaciones de notificación a la autoridad de control competente (AEPD) y, cuando proceda, de comunicación a los interesados, conforme a los artículos 33 y 34 RGPD.

11. Devolución o supresión de datos

A la terminación del contrato, y a elección del Responsable manifestada por escrito antes o durante los treinta (30) días siguientes a la finalización, el Encargado procederá a:

  • Devolver los datos personales al Responsable en un formato estructurado, de uso común y lectura mecánica.
  • Suprimir o destruir de forma segura los datos personales tratados, así como las copias existentes, salvo obligación legal de conservación.

En ausencia de instrucciones expresas, el Encargado procederá a la supresión segura transcurridos treinta (30) días desde la baja efectiva, sin perjuicio de los plazos legales de conservación que resulten obligatorios. Los registros mínimos exigidos por la normativa fiscal y contable se conservarán por el plazo legal correspondiente y serán suprimidos al término del mismo.

12. Auditorías

El Encargado pondrá a disposición del Responsable toda la información que resulte necesaria para demostrar el cumplimiento de las obligaciones derivadas del presente DPA. El Responsable podrá auditar, por sí mismo o a través de un tercero designado y obligado a confidencialidad, el cumplimiento de las medidas técnicas y organizativas del Encargado, previa notificación con una antelación mínima de treinta (30) días naturales, en horario laboral y con la mínima perturbación posible para el funcionamiento del Servicio.

Las auditorías podrán satisfacerse, total o parcialmente, mediante la entrega por el Encargado de los informes de auditoría externos vigentes (por ejemplo, ISO/IEC 27001, SOC 2 Tipo II), cuando estén disponibles. Los costes razonables incurridos por el Encargado para colaborar con auditorías extraordinarias correrán a cargo del Responsable.

13. Asistencia en el ejercicio de derechos

Si un interesado ejerce alguno de los derechos previstos en los artículos 15 a 22 RGPD frente al Encargado, este reenviará la solicitud al Responsable sin dilación. El Encargado asistirá al Responsable, en la medida de lo posible y teniendo en cuenta la naturaleza del tratamiento, mediante las funcionalidades del Servicio (búsqueda, exportación, edición y supresión) y, en su caso, mediante acciones específicas a solicitud del Responsable, conforme a las tarifas que pudieran resultar de aplicación para actuaciones que excedan los soportes estándar del Servicio.

14. Transferencias internacionales

Cuando el cumplimiento del DPA implique transferencias internacionales a subencargados ubicados fuera del Espacio Económico Europeo, dichas transferencias se ampararán en alguno de los mecanismos del Capítulo V del RGPD (decisiones de adecuación, Cláusulas Contractuales Tipo, normas corporativas vinculantes, etc.) y se acompañarán de las medidas técnicas complementarias que resulten necesarias en función de la evaluación de impacto de la transferencia.

15. Responsabilidad

Cada parte responderá frente a la otra y frente a los interesados por los daños y perjuicios causados por el incumplimiento de las obligaciones que le incumben de acuerdo con el RGPD y con el presente DPA. La distribución de responsabilidades entre Responsable y Encargado se regirá por lo dispuesto en el artículo 82 del RGPD.

16. Modificaciones

El presente DPA podrá modificarse en caso de cambios normativos, recomendaciones de las autoridades de control o cambios sustanciales del Servicio que afecten al tratamiento de datos personales. Las modificaciones serán comunicadas al Responsable con antelación razonable, pudiendo este resolver el contrato sin penalización si no aceptase los cambios.

17. Legislación aplicable y jurisdicción

El presente DPA se rige por la legislación española, en particular por el RGPD y la LOPDGDD. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales que resulten competentes conforme a lo dispuesto en los Términos y Condiciones, con respeto a las normas imperativas aplicables al Responsable.

Volver al inicio·Privacidad·Términos