Acuerdo de Encargo de Tratamiento (DPA)

1. Objeto y ámbito del encargo

El Responsable encarga a la Encargada el tratamiento de datos personales necesario para la prestación del Servicio LlamaDoc (recepción automatizada de llamadas, gestión de citas y envío de recordatorios).

El tratamiento se realiza exclusivamente con la finalidad de prestar el Servicio y conforme a las instrucciones documentadas del Responsable.

2. Duración

El DPA se mantendrá vigente mientras esté en vigor el contrato principal del Servicio y hasta la devolución o eliminación completa de los datos tras su terminación.

3. Naturaleza y finalidad del tratamiento

Atención automatizada de llamadas telefónicas de pacientes, recopilación de la información necesaria para agendar citas, actualización de la agenda en el panel de la Clínica y envío de mensajes de confirmación y recordatorio por SMS, WhatsApp y correo electrónico.

4. Categorías de interesados

• Pacientes y personas que llaman a la Clínica.
• Personal de la Clínica autorizado a utilizar el panel.

5. Categorías de datos personales tratados

• Datos identificativos: nombre, apellidos.
• Datos de contacto: número de teléfono, correo electrónico (cuando se facilite).
• Datos de la cita: fecha, hora, profesional, especialidad, motivo no clínico.
• Metadatos de llamada: duración, fecha, hora, identificador de llamada.
• Audio / transcripción de la llamada (solo si está activado por el Responsable).
• Datos técnicos del personal que accede al panel (IP, logs).

No se tratan categorías especiales de datos (art. 9 RGPD) salvo aquello mínimo que la persona que llama pueda voluntariamente mencionar para contextualizar la cita; en su caso se tratan bajo la base legal del artículo 9.2.h (medicina preventiva o laboral) por cuenta del Responsable.

6. Obligaciones del Encargado (Dancing Atom)

• Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable.
• Garantizar que las personas autorizadas a tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
• Adoptar las medidas de seguridad técnicas y organizativas apropiadas (cláusula 10).
• Asistir al Responsable, en la medida de lo posible, para que pueda cumplir su obligación de responder a las solicitudes de ejercicio de derechos por parte de los interesados.
• Asistir al Responsable en la realización de evaluaciones de impacto y consultas previas a la autoridad de control cuando proceda.
• Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD y permitir auditorías razonables con preaviso.
• Notificar al Responsable cualquier brecha de seguridad de los datos personales sin dilaciones indebidas y, en todo caso, en un plazo máximo de 72 horas desde que tenga conocimiento de ella.
• Suprimir o devolver los datos personales al finalizar la prestación del Servicio (cláusula 11).

7. Obligaciones del Responsable (la Clínica)

• Informar a los pacientes e interesados sobre el tratamiento de sus datos (deber de información del art. 13 RGPD), incluido el uso de LlamaDoc como Encargado.
• Recabar el consentimiento de los interesados cuando sea necesario (por ejemplo, para grabaciones de llamada cuando así lo requiera la normativa aplicable).
• Configurar el Servicio de forma que se ajuste a los principios de minimización y limitación de la finalidad.
• Atender las solicitudes de ejercicio de derechos de los interesados en primera instancia.
• Determinar los plazos de conservación aplicables y comunicarlos al Encargado.
• Disponer de legitimación suficiente (base legal) para los tratamientos que se realicen a través del Servicio.

8. Sub-encargados

El Responsable autoriza con carácter general a la Encargada a contratar sub-encargados para la prestación del Servicio, siempre que se les imponga por contrato obligaciones de protección de datos equivalentes a las del presente DPA. La Encargada mantiene una lista actualizada de sub-encargados que incluye al menos:

• Supabase (Irlanda, UE) — base de datos y almacenamiento.
• Telnyx (UE) — telefonía y transporte SMS.
• LiveKit — infraestructura de audio en tiempo real.
• OpenRouter — enrutamiento de modelos de lenguaje (solo inferencia, sin entrenamiento con los datos del Cliente).
• Google (Gemini Live API) — modelo de IA de voz en tiempo real para el recepcionista virtual (audio procesado en tiempo real, no almacenado).
• WhatsApp (mensajería) — envío de recordatorios a pacientes.
• Stripe — facturación.
• PostHog — analítica del producto (comportamiento de usuarios de la clínica; nunca datos de pacientes).
• Google Analytics — analítica web del panel de la clínica (páginas visitadas, sesiones; nunca datos de pacientes).

La Encargada notificará por correo electrónico cualquier incorporación o sustitución de sub-encargado con al menos 30 días de antelación. El Responsable podrá oponerse por motivos razonables y, en caso de no llegar a un acuerdo, resolver el contrato sin penalización.

9. Transferencias internacionales

Los datos se tratan dentro del Espacio Económico Europeo. Cuando un sub-encargado trate datos fuera del EEE, se aplicarán las garantías adecuadas previstas en el RGPD (cláusulas contractuales tipo, decisiones de adecuación o equivalentes).

10. Medidas de seguridad

La Encargada aplica medidas técnicas y organizativas apropiadas al riesgo, incluidas:

• Cifrado de los datos en tránsito (TLS 1.2 o superior) y en reposo.
• Control de acceso basado en roles y autenticación de doble factor para el equipo interno.
• Segregación de entornos (producción, preproducción, desarrollo).
• Row Level Security y aislamiento multi-tenant en la base de datos.
• Registro de auditoría de accesos y cambios relevantes.
• Copias de seguridad cifradas con pruebas periódicas de restauración.
• Revisiones periódicas de seguridad y gestión de vulnerabilidades.
• Política de gestión de incidentes con equipo de respuesta.

11. Notificación de brechas de seguridad

La Encargada notificará al Responsable sin dilaciones indebidas y, en todo caso, en un plazo máximo de 72 horas desde que tenga conocimiento de una brecha de seguridad que afecte a datos personales tratados en el marco del Servicio. La notificación incluirá al menos: naturaleza de la brecha, categorías e indicación aproximada del volumen de interesados afectados, consecuencias probables y medidas adoptadas o propuestas.

12. Devolución y eliminación de los datos

Al finalizar la prestación del Servicio, la Encargada, a elección del Responsable:

• Devolverá los datos en un formato estructurado y de uso común en el plazo de 30 días, o
• Procederá a su supresión segura en el mismo plazo.

La Encargada conservará únicamente aquellos datos que la ley obligue a mantener (por ejemplo, registros contables), limitando su uso a dicha finalidad y con medidas de seguridad apropiadas.

13. Auditoría

El Responsable podrá solicitar, con un preaviso razonable (al menos 30 días), información y evidencia documental razonable del cumplimiento de las obligaciones del Encargado, o auditorías externas realizadas por un tercero independiente, a cargo del Responsable, sin que ello pueda comprometer la seguridad del Servicio o la confidencialidad de otros clientes.

14. Responsabilidad

La responsabilidad de cada parte por el incumplimiento de sus obligaciones en materia de protección de datos se regirá por lo dispuesto en el RGPD y en el contrato principal del Servicio. Los límites de responsabilidad establecidos en los Términos del Servicio se aplican también a este DPA, en la medida permitida por la ley.

15. Ley aplicable

Este DPA se rige por la legislación española y por la normativa de la Unión Europea en materia de protección de datos.

16. Contacto

Para cuestiones relativas al DPA: