Zhennova

Contrato de Encargo (DPA)

2) Contrato de Encargo del Tratamiento (DPA) — Art. 28 RGPD

CONTRATO DE ENCARGO DEL TRATAMIENTO (RGPD Art. 28)
Versión: 1.0
Fecha de entrada en vigor: 10/03/2026

Partes

Responsable del Tratamiento (Cliente): la clínica/profesional que contrata QiClinic, identificada en el alta/contratación del servicio.
Encargado del Tratamiento: Darío Moya Mena, DNI 75956861M, 11360 San Roque, Cádiz, email [email protected] (en adelante, “QiClinic”).

1. Objeto del encargo

QiClinic tratará datos personales por cuenta del Cliente para prestar el servicio SaaS de gestión clínica.

2. Duración

El presente encargo estará vigente mientras el Cliente use el Servicio. A su finalización se aplicará la cláusula de devolución/borrado.

3. Naturaleza, finalidad y operaciones de tratamiento

Operaciones: alojamiento, estructuración, consulta, modificación, conservación, exportación y eliminación.
Finalidad: prestación del servicio QiClinic al Cliente y soporte asociado.

4. Tipos de datos y categorías de interesados
	•	Interesados: pacientes del Cliente, usuarios profesionales del Cliente, personal administrativo/soporte autorizado.
	•	Datos: identificativos, contacto, citas, documentación, historial clínico y datos de salud (categorías especiales), así como logs/auditoría y metadatos técnicos.

5. Obligaciones de QiClinic (Encargado)

QiClinic se obliga a:
a) Tratar los datos únicamente conforme a instrucciones documentadas del Cliente.
b) Garantizar que el personal autorizado está sujeto a confidencialidad.
c) Implementar medidas técnicas y organizativas adecuadas (Art. 32 RGPD) según Anexo I.
d) Asistir al Cliente, cuando proceda, en el cumplimiento de solicitudes de derechos.
e) Notificar al Cliente sin dilación indebida cualquier brecha/incidente que afecte a datos tratados.
f) No comunicar datos a terceros salvo autorización del Cliente o obligación legal.
g) Permitir auditorías razonables conforme a la cláusula 12.

6. Obligaciones del Cliente (Responsable)

El Cliente se obliga a:
a) Determinar la base jurídica y finalidades del tratamiento de datos de pacientes y cumplir con su información a los interesados.
b) Controlar accesos y permisos de Usuarios.
c) Proporcionar instrucciones claras y lícitas.
d) Atender derechos de interesados y obligaciones como Responsable, con asistencia del Encargado cuando sea necesario.

7. Subencargados

QiClinic podrá utilizar subencargados para operaciones necesarias (p. ej., infraestructura, comunicaciones, pagos), listados en Anexo II.
El Cliente autoriza expresamente los subencargados incluidos en el Anexo II. QiClinic informará de cambios sustanciales con antelación razonable.

8. Transferencias internacionales

Si alguna integración/subencargado implica transferencias fuera del EEE, QiClinic aplicará garantías adecuadas conforme RGPD y lo reflejará en el Anexo II.

9. Asistencia en derechos

QiClinic asistirá al Cliente cuando sea necesario para atender solicitudes relacionadas con datos alojados en la plataforma, dentro de un plazo razonable.

10. Brechas de seguridad

QiClinic notificará al Cliente sin dilación indebida tras tener constancia de una brecha que afecte a datos tratados, facilitando información suficiente para evaluar impacto y obligaciones de notificación.

11. Devolución y borrado al finalizar

Al finalizar el servicio:
	•	Se habilitará un periodo de 30 días para exportación razonable de datos por el Cliente.
	•	Transcurrido ese periodo, QiClinic procederá al borrado de datos del entorno activo.
	•	Los datos en copias de seguridad se eliminarán por rotación dentro de un plazo máximo de 30 días, salvo obligación legal.

12. Auditoría

El Cliente podrá solicitar auditoría razonable (con preaviso y alcance proporcional). QiClinic podrá aportar evidencias documentales/controles en lugar de acceso directo a sistemas, salvo necesidad justificada.

Aceptación
Este DPA se considera aceptado por el Cliente en el momento en que marque la aceptación durante el alta/contratación (registro de evidencias: fecha/hora, IP y versión).
ANEXO I — Medidas técnicas y organizativas (Art. 32 RGPD)

QiClinic implementa, entre otras, las siguientes medidas:
	1.	Control de acceso y segregación

	•	Acceso por usuario y roles.
	•	Separación lógica multi-clínica (multi-tenant) para evitar accesos cruzados.

	2.	Seguridad de sesión y aplicación

	•	Protección CSRF global en operaciones mutadoras.
	•	Cookies con atributos seguros (según entorno).
	•	Endurecimiento de endpoints y validación de ownership.

	3.	Cabeceras y canal seguro

	•	CSP emitida por la aplicación.
	•	HSTS y cabeceras básicas emitidas por el proxy (Nginx).
	•	Soporte de ProxyFix para operar correctamente tras proxy.

	4.	Hardening del servicio y permisos

	•	Ejecución con usuario no root, restricciones de escritura (systemd hardening).
	•	Rutas de escritura limitadas (uploads, logs, backups).

	5.	Gestión de secretos

	•	Secretos en variables de entorno, sin valores por defecto inseguros.
	•	Arranque bloqueado en producción si faltan secretos esenciales.

	6.	Logs y auditoría

	•	Redacción/mascarado de datos sensibles en logs.
	•	Retención de logs: 30 días (operativa estándar).

	7.	Backups y restauración

	•	Backups de DB y uploads con retención: 30 días.
	•	Procedimiento de restauración documentado y probado.

	8.	Gestión de incidentes

	•	Procedimiento interno de gestión y notificación de incidentes/brechas.

	9.	Actualizaciones y control de dependencias

	•	Política de actualización de sistema y dependencias.
	•	Escaneo de secretos y verificaciones previas a despliegue (go-live checks).

⸻