Documento generado a partir de plantilla — consulte con asesor legal antes de publicar.
Acuerdo de Procesamiento de Datos
Data Processing Agreement (DPA) — Anexo al Contrato de Servicio
Última actualización: [FECHA] | Versión 1.0
Este Acuerdo de Procesamiento de Datos ("DPA" o "Acuerdo") forma parte integral de los Términos de Servicio celebrados entre las siguientes partes:
Responsable del tratamiento: [NOMBRE_LEGAL], con domicilio en [DOMICILIO] ("Cliente" o "Responsable").
Encargado del tratamiento:
MedicIA (plataforma SaaS de gestión clínica) ("MedicIA" o "Encargado").
En adelante, las partes acuerdan las condiciones bajo las cuales MedicIA procesa datos personales de titulares (pacientes, personal) en nombre del Cliente, en cumplimiento de la legislación de protección de datos aplicable (Ley 25.326 — Argentina; LFPDPPP — México; Ley 1581/2012 — Colombia; Ley 19.628 — Chile; y sus reglamentos).
1. Definiciones
Datos Personales: Toda información que permita identificar o hacer identificable a una persona física.
Datos de Salud: Categoría especial de datos personales relativos a la condición física o mental de una persona.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales (recopilación, almacenamiento, uso, transmisión, eliminación, etc.).
Brecha de seguridad: Violación de la seguridad que provoque la destrucción, pérdida, alteración, comunicación no autorizada o acceso no autorizado a datos personales.
Sub-encargado: Tercero que MedicIA contrata para procesar datos en su nombre.
2. Objeto y ámbito del tratamiento
MedicIA tratará los Datos Personales únicamente para la prestación del Servicio descrito en los Términos de Servicio y según las instrucciones documentadas del Cliente. El tratamiento comprende:
Almacenamiento de fichas clínicas y datos de pacientes.
Procesamiento de mensajes de WhatsApp para coordinación de citas.
Análisis mediante inteligencia artificial (detección de intenciones).
Generación de reportes y estadísticas para uso interno del Cliente.
Copia de seguridad y recuperación ante desastres.
MedicIA no tratará los datos para fines propios, de marketing o análisis comercial. Ante cualquier instrucción del Cliente que, a juicio de MedicIA, pudiera infringir la normativa de protección de datos, MedicIA informará al Cliente sin demora.
3. Obligaciones de MedicIA (Encargado)
MedicIA se compromete a:
Tratar los datos únicamente según las instrucciones documentadas del Cliente.
Garantizar que las personas autorizadas para tratar los datos estén sujetas a deber de confidencialidad.
Implementar las medidas de seguridad técnicas y organizativas descritas en la cláusula 6.
Asistir al Cliente en el cumplimiento de solicitudes de derechos de los titulares (acceso, rectificación, supresión, etc.).
Suprimir o devolver todos los datos al término del contrato, según elija el Cliente.
Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento de sus obligaciones.
No revelar datos a terceros sin instrucción del Cliente, salvo obligación legal.
4. Obligaciones del Cliente (Responsable)
El Cliente se compromete a:
Haber obtenido la habilitación legal necesaria (consentimiento, contrato, mandato legal) para recopilar y ceder al tratamiento los datos de sus pacientes.
Asegurarse de que los datos entregados a MedicIA son exactos y actualizados.
Notificar a MedicIA cualquier cambio en las instrucciones de tratamiento.
Ser el único responsable frente a los titulares de los datos y las autoridades de control.
5. Sub-encargados
El Cliente autoriza a MedicIA a contratar los siguientes sub-encargados para la prestación del Servicio. MedicIA notificará al Cliente con al menos 30 días de antelación ante cualquier cambio en esta lista.
Sub-encargado
Servicio
País/región
Datos involucrados
Anthropic, PBC
Claude AI API — detección de intenciones en mensajes de WhatsApp
EE.UU.
Texto de mensajes de WhatsApp (sin nombre ni ficha clínica del paciente)
Stripe, Inc.
Procesamiento de pagos y suscripciones
EE.UU.
Datos de facturación de la clínica (correo, nombre fiscal)
Resend, Inc.
Envío de correos transaccionales
EE.UU.
Correo electrónico y nombre del destinatario
Railway Corp.
Infraestructura cloud (servidor, base de datos PostgreSQL)
EE.UU.
Todos los datos almacenados en la plataforma
WAHA / Devlikeapro
Gateway WhatsApp (sesiones QR per-clínica)
UE / variable
Mensajes de WhatsApp entrantes y salientes
MedicIA exige a todos sus sub-encargados obligaciones de protección de datos equivalentes a las de este DPA.
6. Medidas de seguridad técnicas y organizativas
MedicIA implementa las siguientes medidas:
Cifrado en tránsito: TLS 1.2 o superior en todas las comunicaciones de red.
Cifrado en reposo: Copias de seguridad cifradas con clave AES-256.
Control de acceso: Sistema de roles (admin, especialista, recepcionista, auditor); principio de mínimo privilegio.
Auditoría: Registro inmutable de todas las operaciones sensibles (audit_log) con trazabilidad de usuario, acción y timestamp.
Gestión de vulnerabilidades: Actualizaciones de dependencias y revisiones de seguridad periódicas.
Continuidad: Copias de seguridad automatizadas con retención mínima de 30 días.
Pruebas de penetración: Al menos una vez al año (o tras cambios de arquitectura significativos).
7. Notificación de brechas de seguridad
MedicIA notificará al Cliente dentro de las 72 horas siguientes a tener conocimiento de una brecha de seguridad que afecte a datos personales. La notificación incluirá: descripción de la brecha, categorías y número aproximado de titulares afectados, probable consecuencia y medidas adoptadas o propuestas.
El Cliente es responsable de notificar a los titulares afectados y a las autoridades de control según la legislación aplicable en su país.
8. Transferencias internacionales
Las transferencias de datos a sub-encargados en EE.UU. u otras jurisdicciones se realizan bajo las garantías apropiadas: Cláusulas Contractuales Estándar de la Unión Europea (cuando aplica), Data Privacy Framework (cuando el sub-encargado está certificado) o términos contractuales equivalentes. Información adicional disponible previa solicitud a [EMAIL_DPO].
9. Derechos de auditoría
El Cliente tiene derecho a auditar el cumplimiento de este DPA. La auditoría se realizará mediante:
Cuestionarios escritos respondidos por MedicIA dentro de 15 días hábiles.
Revisión documental de políticas y certificaciones de seguridad.
Auditoría in situ o por auditor designado por el Cliente, con 30 días de preaviso y como máximo una vez por año, sujeto a acuerdo de confidencialidad.
10. Devolución y eliminación de datos al término del contrato
Dentro de los 30 días posteriores a la terminación del contrato, el Cliente puede solicitar:
Exportación: Entrega de todos los datos en formato JSON estructurado a través del endpoint GET /api/account/export.
Eliminación: Borrado seguro de todos los datos personales del Cliente de los sistemas de MedicIA, incluyendo copias de seguridad activas (las copias en cinta o archivo frío se eliminan en el ciclo de rotación normal, máximo 90 días adicionales).
MedicIA conservará únicamente los datos que tenga obligación legal de mantener (por ejemplo, registros de facturación).
11. Vigencia
Este DPA entra en vigor en la fecha de aceptación de los Términos de Servicio y permanece vigente mientras el contrato principal esté en vigor. Las obligaciones de confidencialidad y eliminación de datos subsisten tras la terminación.
12. Legislación aplicable
Este DPA se rige por las leyes de protección de datos de [JURISDICCIÓN] y por la normativa de protección de datos aplicable al Responsable según su país de operación.
13. Contacto DPO
Para consultas sobre este Acuerdo o para ejercer derechos: [NOMBRE_LEGAL] [EMAIL_DPO] [DOMICILIO]