Subencargados de Tratamiento

Autorización general

El Responsable autoriza de forma general la subcontratación necesaria para la correcta prestación del servicio Profisio. Cualquier alta o cambio relevante de subencargados se notificará con 30 días de antelación para que el Responsable pueda oponerse razonablemente cuando exista un motivo fundado en materia de protección de datos.

Profisio procura que el tratamiento de datos personales se realice preferentemente en la Unión Europea. Cuando se valoren nuevos subencargados, se priorizarán aquellos que ofrezcan alojamiento y tratamiento en el EEE y un marco claro de cumplimiento RGPD.

Listado actual

• Supabase – Proveedor PaaS (PostgreSQL, Auth, Storage). Región UE (Frankfurt). Rol: infraestructura principal de base de datos, almacenamiento y autenticación de usuarios de Profisio.
• Vercel – Hosting de frontend/edge y logs de ejecución. Rol: alojamiento de la aplicación web y entrega de contenidos. Trata datos técnicos mínimos necesarios (p. ej. IP, user-agent) para la prestación del servicio y la seguridad de la plataforma.
• v0 (Vercel) – Herramienta de generación/desarrollo. No trata datos personales de pacientes ni de usuarios finales.
• Brevo – Plataforma de envío de emails transaccionales y de servicio. Rol: envío de correos electrónicos a usuarios y pacientes, incluyendo emails de bienvenida, comunicaciones sobre uso de Profisio y mensajes relacionados con la firma de consentimientos y documentación LOPD.
  Datos tratados: nombre, dirección de correo electrónico y contenido mínimo necesario del mensaje.
  Localización: servidores ubicados dentro de la Unión Europea (principalmente Francia, Alemania y Bélgica) conforme a la información facilitada por el proveedor. Brevo actúa como encargado del tratamiento bajo contrato conforme al art. 28 RGPD.
• Stripe Payments Europe Ltd. – Pasarela de pagos para el cobro de suscripciones de Profisio y, cuando el profesional activa Stripe Connect, para el cobro de sesiones a pacientes.
  Datos tratados: nombre y email del pagador (profesional o paciente), importes, conceptos e identificadores de transacción. Stripe gestiona por sí misma los datos de tarjeta y antifraude, actuando en ese ámbito como responsable independiente; en lo demás interviene como subencargado de Profisio.
  Localización: sede UE en Irlanda; el grupo Stripe puede implicar transferencias a EE. UU. con garantías adecuadas (Cláusulas Contractuales Tipo y, en su caso, EU–U.S. Data Privacy Framework).
• Meta Platforms Ireland Ltd. – WhatsApp Business API – Envío opcional de recordatorios y comunicaciones al paciente por WhatsApp cuando el Responsable activa la integración.
  Datos tratados: nombre y número de teléfono del paciente y contenido del mensaje (p. ej., recordatorio de cita). Si el Responsable no activa WhatsApp, este proveedor no recibe datos de sus pacientes.
  Localización: sede UE en Irlanda con infraestructura del grupo Meta en EE. UU.; la transferencia internacional se ampara en Cláusulas Contractuales Tipo y, cuando proceda, en el marco EU–U.S. Data Privacy Framework.

Destinatario legal (no subencargado): AEAT

Cuando el Responsable utiliza el módulo de facturación electrónica VeriFactu, los registros de facturación generados se remiten a la Agencia Estatal de Administración Tributaria (AEAT) en cumplimiento del Real Decreto 1007/2023 (Reglamento de sistemas informáticos de facturación). AEAT actúa como destinatario obligatorio en virtud de norma con rango de ley y, por tanto, no tiene la condición de subencargado de Profisio.

Procesamiento de IA (sin datos personales)

Las funciones de IA en Profisio operan exclusivamente con texto previamente anonimizado por el sistema, por lo que no se comparten datos personales con terceros. En consecuencia, los proveedores de IA (p. ej., OpenAI/Azure OpenAI) no tienen la condición de subencargados en este momento. Si en el futuro alguna función requiriese tratar datos personales, el proveedor se incorporará aquí como subencargado, previa firma del correspondiente acuerdo de tratamiento y aplicación de garantías adecuadas (p. ej., Cláusulas Contractuales Tipo).

Reconocimiento de voz para dictado de notas

La función de dictado por voz de Profisio utiliza la Web Speech API integrada en el navegador. Dependiendo del navegador utilizado por el profesional, el audio se envía transitoriamente a distintos proveedores: Google (Chrome y Edge), Apple (Safari) o el motor nativo del sistema operativo. Estos proveedores afirman no almacenar el audio con fines distintos al reconocimiento en tiempo real.

Esta tecnología está fuera del control directo de Profisio (es una funcionalidad del navegador). No existe DPA específico de Profisio con Google ni con Apple para la Web Speech API, dado que ninguno lo ofrece para esta función concreta del navegador. Su uso queda sujeto a la Política de Privacidad de Google (Chrome/Edge) o a la Política de Privacidad de Apple (Safari), según el navegador.

Recomendación al profesional: la función de dictado está diseñada para que el fisioterapeuta redacte sus propias notas clínicas, no para grabar conversaciones con pacientes. Se recomienda no mencionar datos identificativos al dictar o, en caso de hacerlo, informar al paciente en la cláusula de privacidad de su consulta. Esta función es completamente opcional.