Acuerdo de Procesamiento de Datos (DPA)
Entre la Clínica (Responsable) y PhysioClinic Pro (Encargado)
1. Incorporación y Partes
Al aceptar los Términos y Condiciones de PhysioClinic Pro durante el registro, la clínica acepta el presente Acuerdo de Procesamiento de Datos (DPA) que forma parte integral del contrato de servicio.
Responsable del tratamiento: La clínica registrada en PhysioClinic Pro, que determina los fines y medios del tratamiento de datos de sus pacientes.
Encargado del tratamiento: El Proveedor de PhysioClinic Pro, que trata los datos por cuenta del Responsable para prestar el Servicio.
2. Objeto del Tratamiento
El Encargado tratará los datos personales del Responsable exclusivamente para prestar los servicios de PhysioClinic Pro:
| Actividad | Datos involucrados |
|---|---|
| Almacenamiento de expedientes clínicos | PHI: diagnósticos, notas de visita, historia médica |
| Gestión de citas y agenda | Nombre, teléfono, correo del paciente |
| Recordatorios WhatsApp | Nombre del paciente, teléfono, datos de la cita |
| Gestión de usuarios staff | Nombre, cédula, correo, rol del profesional |
| Auditoría de acceso a expedientes | Usuario, fecha/hora, acción realizada |
| Exportación de datos | Todos los datos almacenados por la clínica |
3. Obligaciones del Encargado (PhysioClinic Pro)
El Encargado se compromete a:
- Tratar los datos únicamente bajo instrucción del Responsable.
- Garantizar la confidencialidad de los datos; el personal autorizado tiene formación adecuada.
- Implementar las medidas de seguridad descritas en la Sección 5.
- Respetar las condiciones para recurrir a subencargados (Sección 6).
- Asistir al Responsable para responder solicitudes de derechos ARCO de los pacientes.
- Notificar brechas de seguridad dentro de las 72 horas (Sección 7).
- Eliminar o devolver los datos al terminar el contrato (Sección 8).
4. Obligaciones del Responsable (La Clínica)
La clínica se compromete a:
- Haber obtenido bases legales válidas para tratar los datos de pacientes antes de ingresarlos en la Plataforma.
- Informar a sus pacientes sobre el uso de PhysioClinic Pro para la gestión de expedientes.
- Garantizar la exactitud de los datos introducidos.
- Cumplir la legislación sanitaria, de protección de datos y de expedientes clínicos aplicable en su jurisdicción.
- Notificar al Proveedor de accesos no autorizados sospechados de inmediato.
5. Medidas de Seguridad
| Medida | Descripción |
|---|---|
| Cifrado en tránsito | Cifrado de extremo a extremo con protocolos estándar de la industria en todas las comunicaciones |
| Cifrado en reposo | Cifrado en reposo en la infraestructura de almacenamiento en la nube |
| Control de acceso | Control de acceso basado en roles con sesiones de duración limitada y expiración automática |
| Segregación de tenants | Aislamiento lógico de datos por cliente en la capa de datos — imposibilidad de acceso entre clínicas por diseño |
| Gestión de secretos | Credenciales y claves almacenadas en un servicio dedicado de gestión de secretos, separado del código fuente |
| Auditoría | Registro de acceso a expedientes clínicos con identidad del usuario, acción realizada y marca de tiempo |
| MFA | Autenticación multifactor disponible mediante proveedor de identidad federada (opcional por clínica) |
6. Subencargados Autorizados
La clínica autoriza al Proveedor a utilizar los siguientes subencargados:
- Microsoft Azure — Infraestructura, almacenamiento y monitoreo.
- Paddle — Procesamiento de pagos con tarjeta.
- PayPal — Procesamiento de pagos alternativos.
- Meta (WhatsApp Cloud API) — Mensajería de recordatorios (cuando el complemento está activo).
- Google reCAPTCHA — Prevención de abuso en registro.
- Proveedor de identidad federada — Autenticación federada (opcional, habilitada por la clínica).
El Proveedor notificará cambios de subencargados con al menos 14 días de anticipación.
7. Notificación de Brechas de Seguridad
En caso de brecha de seguridad, el Encargado:
- Notificará a la clínica afectada dentro de las 72 horas siguientes al conocimiento de la brecha.
- Proveerá: naturaleza de la brecha, categorías afectadas, consecuencias probables y medidas adoptadas.
- Colaborará en las notificaciones que la clínica deba realizar ante la autoridad de protección de datos competente en su jurisdicción y ante los pacientes afectados.
8. Término y Eliminación de Datos
Al terminar el contrato de servicio:
- La clínica puede solicitar exportación de datos durante 6 meses desde la cancelación.
- Los datos clínicos se conservarán en estado inaccesible por los plazos legales exigidos (mínimo 10 años para expedientes de adultos).
- Al expirar el plazo legal, el Proveedor eliminará los datos de forma segura e irreversible.
- A solicitud, el Proveedor expedirá una declaración de eliminación.
9. Auditorías y Ley Aplicable
La clínica puede solicitar documentación de cumplimiento con al menos 30 días de anticipación. Auditorías in situ máximo una vez al año.
Este DPA se rige por los principios del derecho comercial internacional. Cada parte cumplirá con la legislación de protección de datos aplicable en su respectiva jurisdicción. Las disputas se resolverán conforme al mecanismo establecido en los Términos y Condiciones del Servicio.
Para consultas sobre este documento, comuníquese con soporte en privacy@physioclinicpro.com
Este DPA forma parte integral de los Términos y Condiciones del Servicio.
El idioma prevalente de este documento es el español.
© 2026 PhysioClinic Pro. Todos los derechos reservados. El software, su diseño, flujos de trabajo y documentación son propiedad exclusiva del Proveedor y están protegidos por los tratados internacionales de propiedad intelectual aplicables.