Acuerdo de tratamiento de datos (DPA)
Última revisión: Mayo 2026 Aplicable a: todos los clientes (clínicas) que contratan SaaS Agent Bot. Base legal: RGPD (UE 2016/679) y LOPDGDD (Ley Orgánica 3/2018, España).
1. Partes
| Rol | Entidad |
|---|---|
| Responsable del tratamiento (Data Controller) | La clínica contratante (el "Cliente") |
| Encargado del tratamiento (Data Processor) | El proveedor de SaaS Agent Bot (el "Proveedor") |
2. Datos personales tratados
2.1 Categorías de datos
| Categoría | Ejemplos | Finalidad |
|---|---|---|
| Datos identificativos | Nombre, apellidos, teléfono (WhatsApp/Telegram) | Identificación del paciente en conversaciones y citas |
| Datos de contacto | Número de teléfono, usuario de Telegram | Canal de comunicación con el paciente |
| Datos de salud (categoría especial) | Motivo de consulta, tipo de servicio sanitario solicitado, notas médicas | Gestión de citas y contexto clínico para la recepción |
| Datos de citas | Fecha, hora, servicio, estado | Agenda y recordatorios |
2.2 Datos NO tratados
- El Proveedor no accede ni almacena historiales clínicos completos del Cliente.
- El Proveedor no trata datos de tarjetas de crédito o pago (se usará Stripe, procesador PCI-DSS).
- El Proveedor no comparte datos con terceros no autorizados.
3. Duración del tratamiento
Los datos se tratan mientras dure la relación contractual. Al finalizar:
- Los datos del Cliente se eliminan en un plazo máximo de 30 días.
- El Cliente puede solicitar la eliminación anticipada en cualquier momento.
- Los backups de Supabase retienen datos hasta 30 días adicionales (ciclo de rotación de backups).
El Cliente puede configurar un periodo de retención menor en su configuración de tenant (data_retention_days).
4. Subencargados del tratamiento
El Proveedor utiliza los siguientes subencargados. El Cliente autoriza su uso:
| Subencargado | Servicio | Datos tratados | Ubicación | Certificaciones |
|---|---|---|---|---|
| Supabase | Base de datos PostgreSQL | Todos los datos del tenant | UE (Frankfurt) / US | SOC 2, GDPR compliant |
| DeepSeek | LLM para respuestas del bot | Contenido de mensajes (texto) | Cloud global | Privacy Policy |
| Google (Firebase) | Autenticación de operadores | Email, UID del operador | UE / US | ISO 27001, SOC 2 |
| Google Calendar | Sincronización de citas | Fecha, hora, servicio, nombre del paciente | UE / US | ISO 27001 |
| Meta (WhatsApp) | Canal de mensajería | Mensajes, número de teléfono | Infraestructura de Meta | Meta Business TOS |
| Telegram | Canal de mensajería | Mensajes, username/ID | Infraestructura de Telegram | Telegram Privacy Policy |
| Stripe (futuro) | Procesamiento de pagos | Email, datos de facturación | US | PCI-DSS Level 1 |
El Proveedor notificará al Cliente cualquier cambio en los subencargados con al menos 14 días de antelación. El Cliente puede oponerse y resolver el contrato sin penalización.
5. Medidas de seguridad técnicas
| Medida | Implementación |
|---|---|
| Cifrado en tránsito | HTTPS (TLS 1.3) en todas las comunicaciones API, Supabase, y canales |
| Cifrado en reposo | Supabase cifra los datos en disco (AES-256). Secrets con Fernet (AES-128-CBC) |
| Autenticación | Firebase Auth JWT con tokens de 1h y refresh automático |
| Autorización | Multi-tenant: cada operador solo accede a datos de su tenant_id. Row-Level Security en Supabase |
| Rate limiting | 60 req/min en endpoints de operador, 100 req/min en webhooks |
| Circuit breaker | Protección contra cascada de fallos en Supabase — escrituras rechazadas si BBDD no responde |
| Backups | Supabase Pro: backups diarios automáticos con Point-in-Time Recovery |
| Logs | structlog con JSON estructurado. Retención de logs: 90 días |
| IDS/IPS | Rate limiting + webhook signature verification (Telegram secret_token, Twilio RequestValidator) |
6. Derechos de los interesados (pacientes)
El Cliente es responsable de atender las solicitudes de los pacientes (acceso, rectificación, supresión, portabilidad, limitación, oposición). El Proveedor proporciona:
- Endpoint de exportación:
GET /users/{user_id}/export— devuelve todos los datos del paciente en formato JSON. - Endpoint de eliminación:
DELETE /tenants/{tenant_id}/users/{user_id}— borrado completo de datos del paciente. - Botón de eliminación en dashboard: el operador puede eliminar datos desde la UI.
El Proveedor se compromete a ejecutar estas operaciones en un plazo máximo de 72 horas desde la solicitud del Cliente.
7. Notificación de brechas de seguridad
En caso de violación de datos personales:
- El Proveedor notificará al Cliente en un plazo máximo de 24 horas desde la detección.
- La notificación incluirá: naturaleza de la brecha, datos afectados, medidas adoptadas, medidas recomendadas al Cliente.
- Si la brecha afecta a datos de pacientes, el Cliente notificará a la AEPD en 72 horas (obligación del Responsable).
- El Proveedor documentará todas las brechas, incluidas las que no requieran notificación.
8. Auditorías
El Cliente (o un auditor independiente designado por el Cliente) puede auditar las medidas de seguridad del Proveedor:
- Periodicidad: 1 vez al año, con 30 días de preaviso.
- Alcance: infraestructura, código, logs, procedimientos de seguridad.
- Coste: a cargo del Cliente, salvo que la auditoría revele un incumplimiento grave del Proveedor.
- Alternativa: el Proveedor puede presentar certificaciones o informes de auditoría externa (ej. pentest anual).
9. Transferencias internacionales
Algunos subencargados procesan datos fuera del EEE (EE.UU.). Estas transferencias se amparan en:
- Cláusulas Contractuales Tipo (SCC) de la Comisión Europea (Decisión 2021/914).
- Certificaciones del subencargado (SOC 2, ISO 27001).
- Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework), donde aplicable.
El Cliente consiente explícitamente estas transferencias al contratar el servicio.
10. Contacto
| Rol | Contacto |
|---|---|
| DPO del Proveedor | dpo@saasbot.com (a configurar) |
| Soporte técnico | soporte@saasbot.com |
| Notificación de brechas | seguridad@saasbot.com |
11. Aceptación
Este Anexo DPA forma parte inseparable del Contrato de Servicios entre el Cliente y el Proveedor. La firma del Contrato implica la aceptación íntegra del presente Anexo.
Documento revisado conforme al RGPD (UE 2016/679), LOPDGDD (LO 3/2018), y directrices de la AEPD.
¿Dudas sobre este documento? Escríbenos a hola@kaifront.com.