Contrato de Encargo de Tratamiento

ENCARGO DE TRATAMIENTO DE DATOS (RGPD art. 28)
Versión: 2026-05-26

1. Partes
Encargado: Profisio Solutions SL (CIF B22607246), Calle de Béjar 13, 28028 Madrid, ventas@profisio.es.
Responsable: El usuario profesional (fisioterapeuta/centro) que se registra y utiliza Profisio.

2. Objeto, duración, naturaleza y finalidad
Objeto: la prestación del software Profisio para gestión clínica (agenda, pacientes, expedientes, facturación, recordatorios, cobros y comunicaciones).
Duración: mientras exista la relación contractual con el Responsable.
Naturaleza y operaciones: alojamiento, conservación, organización, consulta y transmisión por cuenta del Responsable.
Finalidad: permitir al Responsable gestionar su actividad clínica conforme a la normativa aplicable.

2 bis. Funciones de IA (aclaración)
Las funciones de IA de Profisio están diseñadas para procesar exclusivamente textos previamente anonimizados, sin datos personales. Por tanto, dicho procesamiento queda fuera del ámbito de aplicación del RGPD. Si en el futuro alguna función de IA requiriera tratar datos personales, Profisio lo informará previamente, incorporará al proveedor como subencargado, firmará las garantías adecuadas y lo reflejará en /subencargados.

3. Tipos de datos y categorías de interesados
Profisio trata por cuenta del Responsable, como mínimo, las siguientes categorías de datos:
– Datos identificativos del paciente: nombre y apellidos, DNI/NIE/pasaporte (cuando se aporte), fecha de nacimiento, sexo, dirección postal, teléfono, email.
– Datos de salud (categoría especial, art. 9 RGPD): notas clínicas, antecedentes, diagnósticos, evolución terapéutica, documentación clínica y archivos adjuntos al expediente.
– Datos económicos y de facturación: importes facturados, conceptos, método de pago, datos fiscales del paciente cuando se emita factura, e identificadores de cobro generados por la pasarela de pago.
– Datos identificativos y profesionales del usuario del Responsable (profesional/empleado): nombre, email, número de colegiado, firma manuscrita digitalizada, datos de acceso a la plataforma.
– Metadatos técnicos asociados al uso: direcciones IP, user-agent, logs de acceso y de operación, identificadores de sesión.
Categorías de interesados: pacientes del Responsable y usuarios profesionales (autónomos, administradores de centro y empleados) bajo control del Responsable.

4. Instrucciones documentadas
Profisio tratará los datos únicamente según las instrucciones documentadas del Responsable y para las finalidades indicadas. Se consideran instrucciones documentadas: (i) las recogidas en el presente contrato y demás documentación contractual aceptada por el Responsable; (ii) las que el Responsable curse por escrito a ventas@profisio.es; y (iii) las que el Responsable ejecute a través de los mecanismos habilitados en la plataforma (paneles de configuración, formularios, herramientas de exportación/borrado, ajustes de subencargados opcionales, etc.). Cualquier tratamiento no contemplado requerirá instrucción previa y documentada.

5. Confidencialidad
Profisio garantiza que las personas autorizadas a tratar datos se han comprometido a la confidencialidad, mediante cláusula contractual expresa o deber legal equivalente, y han recibido formación básica en protección de datos.

6. Medidas técnicas y organizativas (art. 32 RGPD)
Profisio aplica medidas adecuadas al riesgo de los datos tratados (incluida categoría especial del art. 9). Las medidas vigentes en la fecha de esta versión incluyen, como mínimo:
– Cifrado en tránsito mediante TLS 1.2 o superior en todas las comunicaciones cliente-servidor y servidor-servidor.
– Cifrado de datos en reposo a nivel de disco mediante AES-256 en la infraestructura de base de datos y almacenamiento (Supabase).
– Cifrado adicional a nivel de aplicación (AES-256-GCM) de los campos identificativos sensibles de paciente (nombre, email, teléfono) antes de su persistencia.
– Row Level Security (RLS) activado sobre las tablas que contienen datos clínicos y económicos, con políticas que aíslan los datos por Responsable.
– Principio de mínimo privilegio en el acceso a backend, claves de servicio y secretos, gestionados mediante variables de entorno protegidas y rotación de credenciales ante eventos de riesgo o salida de personal.
– Política de credenciales para usuarios finales: contraseñas con requisitos mínimos de fortaleza, hash en almacenamiento (gestionado por Supabase Auth), y autenticación multifactor (MFA) disponible para los usuarios profesionales que la activen.
– Logs de acceso y operación relevantes con una retención mínima de 12 meses, suficientes para análisis forense ante incidentes.
– Copias de seguridad automáticas diarias de la base de datos con retención escalonada (al menos 7 días en Point-in-Time Recovery) y prueba de restauración documentada al menos con periodicidad anual.
– Procedimiento documentado de gestión de incidentes que habilita la notificación en los plazos del apartado 9 y permite al Responsable cumplir las 72 horas del art. 33 RGPD frente a la AEPD.
– Políticas de retención y borrado ejecutables bajo instrucción del Responsable, incluyendo eliminación o devolución al término de la relación.
Profisio podrá actualizar estas medidas para mejorar el nivel de seguridad sin reducir la protección, reflejando los cambios en futuras versiones de este contrato.

7. Subencargados
El Responsable autoriza de forma general la subcontratación necesaria para la prestación del servicio. Subencargados actuales:
– Supabase (PaaS: PostgreSQL, Auth y Storage; región UE – Frankfurt). Trata datos identificativos, de salud, económicos y técnicos por cuenta del Responsable.
– Vercel (hosting de frontend/edge y logs de ejecución). Trata datos técnicos mínimos (IP, user-agent, logs) necesarios para la prestación y securización del servicio. Puede implicar tratamientos fuera del EEE (ver cláusula 12).
– v0 de Vercel (soporte al desarrollo). No trata datos personales de pacientes ni de usuarios finales.
– Brevo (Sendinblue SAS; envío de emails transaccionales y de servicio). Trata datos identificativos y de contacto de usuarios y pacientes (nombre, email y contenido mínimo del mensaje). Servidores ubicados en la Unión Europea.
– Stripe Payments Europe Ltd. (pasarela de cobros y suscripciones, incluido Stripe Connect cuando el profesional active cobros a pacientes). Trata datos identificativos del pagador (nombre, email) e información económica asociada a la transacción. Stripe actúa simultáneamente como responsable independiente respecto del dato propio de pago (tarjeta, antifraude) y, en lo que excede de ello, como subencargado por cuenta de Profisio. Puede implicar transferencias internacionales con garantías adecuadas (ver cláusula 12).
– Meta Platforms Ireland Ltd. – WhatsApp Business API (envío opcional de recordatorios y comunicaciones al paciente vía WhatsApp). Trata nombre y número de teléfono del paciente y contenido del mensaje. Implica transferencia internacional (ver cláusula 12). Si el Responsable no activa la integración de WhatsApp, este subencargado no recibe datos del paciente.
La lista viva de subencargados, su región y rol se publican en /subencargados. Profisio notificará altas y cambios sustanciales con 30 días de antelación para que el Responsable pueda oponerse razonablemente por motivos de protección de datos.
Destinatario legal (no subencargado): la Agencia Estatal de Administración Tributaria (AEAT) recibe los registros de facturación generados por Profisio cuando el Responsable utiliza el módulo VeriFactu, en cumplimiento del Reglamento de sistemas informáticos de facturación (RD 1007/2023). AEAT actúa como destinatario obligatorio en virtud de norma con rango de ley, no como subencargado de Profisio.
Aclaración IA: Los proveedores de IA (p. ej., OpenAI/Azure OpenAI) no tienen la condición de subencargados en Profisio porque reciben únicamente texto anonimizado (no es dato personal). Si en el futuro fuera necesario tratar datos personales, se incluirán como subencargados mediante DPA y garantías adecuadas.
Aclaración dictado por voz: La función opcional de dictado por voz utiliza la Web Speech API del navegador. El audio se procesa transitoriamente por Google (Chrome/Edge) o Apple (Safari) según el navegador usado. Esta tecnología es externa a Profisio y no existe DPA específico de Profisio con ninguno de estos proveedores para esta API del navegador. El uso queda sujeto a sus respectivas políticas de privacidad. Esta función es opcional y está diseñada para uso exclusivo del profesional al redactar notas propias.

7 bis. Canales de comunicación de terceros (videollamada, calendario y correo)
Profisio ofrece, con carácter opcional, integración con servicios de Google (Google Calendar y Google Meet) que el Responsable conecta con su propia cuenta de Google. Profisio se limita a generar enlaces y eventos a través de la API de Google con las credenciales del Responsable; no aloja, procesa ni accede al contenido de las videollamadas. La elección del proveedor de videollamada, así como la idoneidad de la cuenta utilizada (Google Workspace con condiciones aptas para datos clínicos frente a una cuenta gratuita de Gmail) y la información que el profesional facilite a sus pacientes sobre dicho canal, son responsabilidad exclusiva del Responsable como responsable del tratamiento. Google actúa, en su caso, como subencargado del Responsable —no de Profisio— en virtud del acuerdo que el Responsable haya suscrito directamente con Google. Profisio no garantiza el cumplimiento normativo de canales de comunicación de terceros (videollamada, mensajería, correo personal del Responsable) que queden fuera de su control técnico, y advierte de ello en el punto de uso dentro de la aplicación.

8. Asistencia al Responsable
Profisio asistirá al Responsable, en la medida de lo posible, para atender los derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad y oposición); para realizar, cuando proceda, evaluaciones de impacto y consultas previas; y para la gestión de solicitudes de autoridades de control.
En caso de que Profisio reciba directamente del interesado una solicitud de ejercicio de derechos relativa a datos tratados por cuenta del Responsable, la comunicará al Responsable en un plazo máximo de 72 horas hábiles desde su recepción, sin atender por sí misma la solicitud salvo instrucción expresa del Responsable.

9. Incidentes y notificaciones
Profisio notificará al Responsable cualquier brecha de seguridad que afecte a datos personales tratados por su cuenta sin dilación indebida y, en cualquier caso, en un plazo máximo de 48 horas desde que tenga conocimiento de la misma, facilitando como mínimo: naturaleza de la brecha, categorías y número aproximado de interesados y registros afectados, posibles consecuencias y medidas adoptadas o propuestas para ponerle remedio. Si en ese plazo no dispusiera de toda la información, realizará una notificación inicial y la completará de forma escalonada conforme la información esté disponible, con el objetivo de permitir al Responsable cumplir el plazo de 72 horas previsto en el art. 33 RGPD frente a la AEPD.

10. Destino de los datos al término de la relación
A la finalización del servicio, a elección del Responsable, Profisio suprimirá o devolverá los datos, salvo conservación bloqueada si existieran obligaciones legales (señaladamente, conservación de registros de facturación VeriFactu durante el plazo legalmente exigido).

11. Verificaciones y auditorías
Profisio pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del presente encargo, mediante certificaciones, informes de auditoría, descripción de medidas técnicas y respuestas a cuestionarios de seguridad razonables.
Cuando el Responsable solicite una auditoría in situ o documental específica, se aplicarán las siguientes condiciones: (i) preaviso mínimo de 30 días naturales; (ii) alcance, fechas y modalidad pactados previamente por escrito, limitados a aspectos relacionados con el tratamiento objeto del encargo; (iii) sujeción a deber de confidencialidad del auditor; (iv) preservación de la seguridad del servicio y de los datos de otros clientes (no se permitirán pruebas intrusivas, pentest no acordado o acceso a entornos productivos compartidos); (v) coste a cargo del Responsable solicitante, salvo que la auditoría revele incumplimientos materiales por parte de Profisio, en cuyo caso Profisio asumirá los costes razonables.

12. Transferencias internacionales
Profisio diseña sus servicios para que el tratamiento de datos personales se realice preferentemente dentro del Espacio Económico Europeo (EEE). La base de datos principal (Supabase, región Frankfurt) y el servicio de correo transaccional (Brevo) se alojan en servidores ubicados en la Unión Europea.
El uso de determinados proveedores de infraestructura global, como Vercel y Stripe, puede implicar transferencias de datos (técnicos en el caso de Vercel; identificativos y económicos en el caso de Stripe) fuera del EEE, siempre limitadas a lo necesario para la prestación y securización del servicio. La integración opcional de WhatsApp Business API implica transferencia internacional de nombre, teléfono y contenido del mensaje a Meta Platforms y, en su caso, a su infraestructura en EE. UU.
En todos estos casos, Profisio aplicará las garantías adecuadas previstas en el RGPD, incluyendo las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando proceda, el marco EU–U.S. Data Privacy Framework para destinatarios certificados.
Si excepcionalmente fuera necesaria una nueva transferencia de datos personales a un tercer país distinta de las aquí descritas, Profisio aplicará las garantías adecuadas e informará previamente al Responsable.

13. Responsabilidad
Cada parte responderá de sus obligaciones. El Responsable es quien determina fines y medios del tratamiento.

14. Contacto y Delegado de Protección de Datos
Encargado: Profisio Solutions SL – ventas@profisio.es.
Asesoramiento externo en protección de datos: Proyectos, Formación y Servicios, S.L. (marca pdatos), que asiste a Profisio en verificaciones, controles periódicos y auditorías de cumplimiento normativo (RGPD y LOPDGDD). Contacto: administradatos@lextools.com.
Atendido el tamaño y la naturaleza de la actividad, Profisio Solutions SL no está obligada a designar un Delegado de Protección de Datos conforme al art. 37 RGPD. No obstante, ha designado al consultor externo indicado como punto de contacto en materia de protección de datos. Toda comunicación del Responsable o de los interesados relativa a esta materia podrá dirigirse a ventas@profisio.es y, si así se prefiere, en copia al consultor externo.

Última actualización: 26/05/2026