Contrato de Encargo de Tratamiento

ENCARGO DE TRATAMIENTO DE DATOS (RGPD art. 28)
Versión: 2026-03-21

1. Partes
Encargado: Profisio (CIF B22607246), Calle de Béjar 13, 28028 Madrid, ventas@profisio.es.
Responsable: El usuario profesional (fisioterapeutas?/centro) que se registra y utiliza Profisio.

2. Objeto, duración, naturaleza y finalidad
Objeto: la prestación del software Profisio para gestión clínica (agenda, pacientes, expedientes, facturación, recordatorios).
Duración: mientras exista la relación contractual con el Responsable.
Naturaleza y operaciones: alojamiento, conservación, organización, consulta, transmisión por cuenta del Responsable.
Finalidad: permitir al Responsable gestionar su actividad clínica conforme a la normativa aplicable.

2 bis. Funciones de IA (aclaración)
Las funciones de IA de Profisio están diseñadas para procesar exclusivamente textos previamente anonimizados, sin datos personales. Por tanto, dicho procesamiento queda fuera del ámbito de aplicación del RGPD. Si en el futuro alguna función de IA requiriera tratar datos personales, Profisio lo informará previamente, incorporará al proveedor como subencargado, firmará las garantías adecuadas y lo reflejará en /subencargados.

3. Tipos de datos y categorías de interesados
Datos de pacientes (identificativos y de salud) y datos de usuarios profesionales (identificativos), tratados por Profisio en calidad de Encargado.
Interesados: pacientes y usuarios profesionales del Responsable.

4. Instrucciones documentadas
Profisio tratará los datos únicamente según las instrucciones documentadas del Responsable y para las finalidades indicadas. Cualquier tratamiento no contemplado requerirá instrucción previa y documentada.

5. Confidencialidad
Profisio garantiza que las personas autorizadas a tratar datos se han comprometido a la confidencialidad y han recibido formación básica en protección de datos.

6. Medidas técnicas y organizativas (art. 32 RGPD)
Profisio aplica medidas adecuadas al riesgo, incluyendo:
– Control de accesos y principio de mínimo privilegio (RLS en tablas sensibles).
– Cifrado de datos en tránsito (TLS) y cifrado fuerte de datos en reposo.
– Gestión de claves mediante variables de entorno y controles de acceso.
– Registro y auditoría de accesos relevantes, con retención razonable.
– Copias de seguridad y pruebas de restauración periódicas.
– Procedimiento de notificación de incidentes y apoyo al Responsable para notificar en menos de 72 horas cuando proceda.
– Políticas de retención y borrado bajo instrucción del Responsable.

7. Subencargados
El Responsable autoriza de forma general la subcontratación necesaria para la prestación del servicio:
– Supabase (infraestructura PaaS/DB/Storage; región UE).
– Vercel (hosting de frontend/edge/logs).
– v0 de Vercel (soporte al desarrollo; no trata datos personales de pacientes).
– Brevo (plataforma de envío de emails transaccionales y de servicio; tratamiento de datos identificativos y de contacto de usuarios y pacientes necesarios para el envío de correos. Servidores ubicados dentro de la Unión Europea).
La lista viva de subencargados y los cambios se publican en /subencargados. Profisio notificará cambios con 30 días de antelación para oposición razonable.
Aclaración IA: Los proveedores de IA (p. ej., OpenAI/Azure OpenAI) no tienen la condición de subencargados en Profisio porque reciben únicamente texto anonimizado (no es dato personal). Si en el futuro fuera necesario tratar datos personales, se incluirán como subencargados mediante DPA y garantías adecuadas.
Aclaración dictado por voz: La función opcional de dictado por voz utiliza la Web Speech API del navegador. El audio se procesa transitoriamente por Google (Chrome/Edge) o Apple (Safari) según el navegador usado. Esta tecnología es externa a Profisio y no existe DPA específico de Profisio con ninguno de estos proveedores para esta API del navegador. El uso queda sujeto a sus respectivas políticas de privacidad. Esta función es opcional y está diseñada para uso exclusivo del profesional al redactar notas propias.

8. Asistencia al Responsable
Profisio asistirá al Responsable, en la medida de lo posible, para atender derechos de los interesados; para realizar, cuando proceda, evaluaciones de impacto y consultas; y para la gestión de solicitudes/autoridades.

9. Incidentes y notificaciones
Profisio notificará sin dilación indebida al Responsable los incidentes de seguridad de los que tenga conocimiento y facilitará información disponible para su gestión y, en su caso, notificación a la AEPD y a los interesados.

10. Destino de los datos al término de la relación
A la finalización del servicio, a elección del Responsable, Profisio suprimirá o devolverá los datos, salvo conservación bloqueada si existieran obligaciones legales.

11. Verificaciones
Profisio pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del presente encargo y permitirá, cuando sea razonable, auditorías o verificaciones, sin comprometer la seguridad del servicio ni datos de terceros.

12. Transferencias internacionales
Profisio diseña sus servicios para que el tratamiento de datos personales se realice preferentemente dentro del Espacio Económico Europeo (EEE). La base de datos principal y el servicio de correo transaccional (Brevo) se alojan en servidores ubicados en la Unión Europea.
El uso de determinados proveedores de infraestructura global, como Vercel, puede implicar transferencias de datos técnicos (por ejemplo, direcciones IP y cabeceras HTTP) fuera del EEE, siempre limitadas a lo necesario para la prestación y securización del servicio. En estos casos, Profisio aplicará las garantías adecuadas previstas en el RGPD, incluyendo en su caso las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
Si excepcionalmente fuera necesaria una nueva transferencia de datos personales a un tercer país distinta de las aquí descritas, Profisio aplicará las garantías adecuadas e informará previamente al Responsable.

13. Responsabilidad
Cada parte responderá de sus obligaciones. El Responsable es quien determina fines y medios del tratamiento.

14. Contacto
Encargado: Profisio – ventas@profisio.es.

Última actualización: 21/03/2026