Contrato de Encargo del Tratamiento (CPT)

1. PARTES

Responsable (el «Cliente»):

La persona jurídica o profesional autónomo que ha suscrito las Condiciones de Servicio o un Formulario de Pedido con Praxxos, según se identifica en el Formulario de Pedido o en el alta de la Cuenta.

Encargado («Praxxos»):

Praxxos Technologies, S.L., sociedad española con domicilio social en C/ Antoni Jaume, 2, 1ª Planta 1, 07800 Eivissa (Ibiza), Illes Balears, España, NIF/CIF B88768882, inscrita en el Registro Mercantil de Eivissa (Ibiza), hoja IB-23361, Folio electrónico IRUS 100KM74747678.

El Cliente y Praxxos se denominan individualmente «Parte» y, conjuntamente, «Partes».

2. ANTECEDENTES E INCORPORACIÓN

El Cliente ha contratado o utiliza el Servicio de Praxxos al amparo de las Condiciones de Servicio de Praxxos (el «Contrato»). En relación con el Servicio, Praxxos trata datos personales por cuenta del Cliente. El presente Contrato de Encargo del Tratamiento (el «CPT») regula dicho tratamiento conforme al artículo 28 del RGPD y a la legislación española de protección de datos (LOPDGDD).

Este CPT se incorpora por referencia al Contrato y forma parte integrante del mismo. En caso de contradicción entre el Contrato y este CPT en materia de protección de datos, prevalecerá este CPT.

3. DEFINICIONES

Los términos en mayúsculas que no se definan en el presente CPT tendrán el significado que se les atribuya en el Contrato o en el RGPD. En particular, «Responsable», «Encargado», «Interesado», «Datos Personales», «Tratamiento», «Violación de la Seguridad de los Datos Personales», «Autoridad de Control» y «Subencargado» tendrán el significado del artículo 4 del RGPD.

«Datos Personales del Cliente»: Datos Personales tratados por Praxxos por cuenta del Cliente en relación con el Servicio, incluidos datos relativos a la salud de los Pacientes.

«Paciente»: persona física cuyos Datos Personales son tratados por el Cliente mediante el Servicio, con fines clínicos, de agenda y administrativos.

4. OBJETO Y DETALLES DEL TRATAMIENTO

El objeto, la duración, la naturaleza, la finalidad, el tipo de Datos Personales y las categorías de Interesados se detallan en el Anexo A.

5. ROLES Y CUMPLIMIENTO

5.1 Roles

El Cliente es el Responsable de los Datos Personales del Cliente. Praxxos es el Encargado.

5.2 Obligaciones del Cliente

El Cliente garantiza que:

• Dispone de una base jurídica válida bajo el art. 6 RGPD para todos los tratamientos que realiza utilizando el Servicio.
• Dispone de una condición válida bajo el art. 9 RGPD para los datos de categorías especiales (normalmente art. 9.2.h para el ámbito sanitario) y cumple las obligaciones de secreto profesional sanitario aplicables.
• Ha facilitado a los Interesados toda la información exigida por los arts. 13 y 14 del RGPD.
• Es responsable de la licitud, exactitud y adecuación de los Datos Personales del Cliente.
• Configurará el Servicio cumpliendo la normativa de protección de datos, incluidas las funcionalidades de recordatorios y marketing.

5.3 Compromisos de Praxxos

Praxxos tratará los Datos Personales del Cliente únicamente conforme a instrucciones documentadas del Cliente, también respecto de las transferencias internacionales, salvo cuando se le exija por el Derecho de la UE o de un Estado miembro (en cuyo caso, cuando sea lícito, lo informará al Cliente antes del tratamiento).

El Contrato, este CPT y el uso del Servicio por el Cliente constituyen las instrucciones documentadas del Cliente. Si Praxxos considera que una instrucción infringe la normativa de protección de datos, informará al Cliente.

6. CONFIDENCIALIDAD

Praxxos garantizará que las personas autorizadas para tratar los Datos Personales del Cliente se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad, y que el acceso se limite a lo necesario para prestar el Servicio.

7. SEGURIDAD DEL TRATAMIENTO

Praxxos aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluidas las descritas en el Anexo C, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

8. SUBENCARGADOS

8.1 Autorización

El Cliente otorga a Praxxos autorización general por escrito para subcontratar a Subencargados que lleven a cabo actividades de tratamiento específicas por su cuenta. La lista actualizada de Subencargados figura en el Anexo B y se mantiene actualizada en el Servicio o se facilita bajo solicitud.

8.2 Modificaciones

Praxxos informará al Cliente de cualquier intención de añadir o sustituir un Subencargado con al menos treinta (30) días de antelación, permitiendo al Cliente oponerse por motivos razonables relacionados con la protección de datos. Si la oposición es razonable y las Partes no alcanzan una solución, el Cliente podrá resolver la parte afectada del Servicio sin penalización.

8.3 Obligaciones de los Subencargados

Praxxos impondrá a cada Subencargado, por contrato escrito, obligaciones en materia de protección de datos no menos protectoras que las de este CPT. Praxxos responde plenamente frente al Cliente del cumplimiento por cada Subencargado de sus obligaciones.

9. TRANSFERENCIAS INTERNACIONALES

Praxxos no transferirá los Datos Personales del Cliente fuera del Espacio Económico Europeo salvo que exista un nivel adecuado de protección, en particular mediante:

• Una decisión de adecuación de la Comisión Europea, o
• Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión, completadas con medidas adicionales cuando proceda, o
• Cualquier otro instrumento lícito previsto en el Capítulo V del RGPD.

Cuando se utilicen CCT, las Partes acuerdan suscribirlas e implementar las medidas complementarias necesarias tras una evaluación de impacto de la transferencia.

10. ASISTENCIA AL RESPONSABLE

10.1 Derechos de los interesados

Teniendo en cuenta la naturaleza del tratamiento, Praxxos asistirá al Cliente mediante medidas técnicas y organizativas apropiadas, en la medida posible, para que pueda atender las solicitudes de los Interesados que ejerzan sus derechos del Capítulo III del RGPD (acceso, rectificación, supresión, limitación, portabilidad y oposición).

Si Praxxos recibe una solicitud directamente de un Interesado relativa a Datos Personales del Cliente, la trasladará al Cliente sin dilación indebida y no responderá directamente salvo autorización del Cliente.

10.2 Otras obligaciones

Praxxos asistirá al Cliente para garantizar el cumplimiento de los arts. 32 a 36 RGPD (seguridad, notificación de brechas, evaluaciones de impacto y consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información disponible.

11. VIOLACIONES DE SEGURIDAD

Praxxos notificará al Cliente sin dilación indebida, y en todo caso en un plazo de setenta y dos (72) horas, tras tener conocimiento de una Violación de la Seguridad que afecte a los Datos Personales del Cliente. La notificación describirá, en la medida disponible, la naturaleza de la brecha, las categorías y número aproximado de Interesados y registros afectados, las posibles consecuencias y las medidas adoptadas o propuestas.

Praxxos cooperará razonablemente con el Cliente en la investigación y mitigación.

12. AUDITORÍA E INFORMACIÓN

Praxxos pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento del art. 28 RGPD y de este CPT. Previo aviso escrito razonable y no más de una vez por año natural (salvo brecha o requerimiento de una Autoridad de Control), el Cliente podrá, a su costa, realizar una auditoría del cumplimiento por Praxxos, durante horario laboral, sujeto a obligaciones de confidencialidad y sin perturbar indebidamente la operativa. Praxxos podrá cumplir esta obligación mediante certificaciones o informes de auditoría de terceros reconocidos (p. ej., ISO 27001, SOC 2) cuando estén disponibles.

13. DEVOLUCIÓN Y BORRADO DE LOS DATOS

Al término del Servicio, a elección del Cliente, Praxxos devolverá todos los Datos Personales del Cliente o los suprimirá, y suprimirá las copias existentes, salvo que el Derecho de la UE o de un Estado miembro exija su conservación. El Cliente podrá solicitar la devolución de sus datos en un formato estructurado, de uso común y lectura mecánica en los treinta (30) días siguientes a la terminación, tras los cuales Praxxos los suprimirá de forma segura en los noventa (90) días siguientes, sujetas a obligaciones legales de retención.

Las copias de seguridad que contengan Datos Personales se eliminarán conforme al ciclo estándar de rotación de copias de Praxxos.

14. RESPONSABILIDAD

La responsabilidad de cada Parte bajo este CPT queda sujeta a las limitaciones y exclusiones establecidas en el Contrato, salvo que el RGPD exija otra cosa. Nada en este CPT limita los derechos de los Interesados a una indemnización bajo el art. 82 RGPD.

15. DURACIÓN Y TERMINACIÓN

Este CPT entra en vigor en la fecha de efectos del Contrato y se mantiene mientras Praxxos trate Datos Personales del Cliente. Sobrevivirán a la terminación las obligaciones de confidencialidad, devolución/borrado, auditoría y responsabilidad.

16. LEY APLICABLE Y JURISDICCIÓN

Este CPT se rige por la legislación española. Toda controversia se someterá a la jurisdicción exclusiva acordada en el Contrato.

ANEXO A — DETALLES DEL TRATAMIENTO

Campo

Descripción

Objeto

Tratamiento de datos personales necesario para que Praxxos preste el Servicio al Cliente.

Duración

Durante el Plazo de Suscripción y el periodo de retención previsto en este CPT.

Naturaleza y finalidad

Alojar, almacenar, transmitir, mostrar y de otro modo tratar los Datos Personales del Cliente para habilitar las funcionalidades del Servicio: reserva online, gestión de historiales, agenda, recordatorios automatizados, soporte de facturación, analítica para la clínica del Cliente, y soporte.

Tipo de datos personales

Datos identificativos (nombre, apellidos), de contacto (email, teléfono, dirección), de cita, sociodemográficos (fecha de nacimiento, sexo), datos de salud (notas clínicas, historial de tratamientos, condiciones referidas por el paciente), datos de facturación, comunicaciones con la clínica del Cliente, y cualesquiera otros que el Cliente decida registrar.

Categorías de interesados

Pacientes de la clínica del Cliente, Usuarios Autorizados del Cliente y cualesquiera otras personas físicas cuyos datos el Cliente decida registrar.

Categorías especiales

SÍ — pueden tratarse datos de salud en el sentido del art. 9.1 RGPD. El Cliente debe disponer de una condición válida del art. 9.2 RGPD (normalmente art. 9.2.h) y de la normativa nacional aplicable.

Obligaciones y derechos del Cliente

Los establecidos en este CPT, en las Condiciones y en el RGPD.

ANEXO B — SUBENCARGADOS AUTORIZADOS

Los siguientes subencargados están contratados por Praxxos para soportar la prestación del Servicio. La lista está vigente a la fecha de este CPT; una versión actualizada se publica en el Servicio o se facilita bajo solicitud.

• Proveedor de hosting en la nube — p. ej., AWS / GCP / Hetzner — región(es)
• Proveedor de base de datos — p. ej., Supabase / Neon — región(es)
• Email — p. ej., SendGrid / Postmark / Brevo
• SMS / WhatsApp — p. ej., Twilio / Meta WhatsApp Business API
• Pasarela de pagos — p. ej., Stripe
• Herramienta de soporte — p. ej., Intercom / Crisp
• Monitorización de errores — p. ej., Sentry
• Analítica de producto — p. ej., PostHog / Mixpanel

A confirmar y cerrar antes del lanzamiento con la lista real de proveedores.

ANEXO C — MEDIDAS TÉCNICAS Y ORGANIZATIVAS (TOMs)

Medida

Descripción

Cifrado en tránsito

TLS 1.2+ para todas las conexiones al Servicio. Tráfico interno entre servicios cifrado.

Cifrado en reposo

Cifrado a nivel de disco en la infraestructura. Campos sensibles cifrados a nivel de aplicación cuando proceda.

Control de acceso

Control basado en roles (RBAC), cuentas únicas, requisitos de contraseña, MFA disponible, principio de privilegio mínimo para el personal.

Seguridad de red

Segmentación de red, firewall, detección de intrusiones, escaneos de vulnerabilidades.

Copias de seguridad

Backups automatizados periódicos, cifrados, con periodo de retención definido y pruebas de restauración.

Registros y monitorización

Logs de aplicación e infraestructura para seguridad y auditoría, con monitorización y alertas.

Seudonimización / anonimización

Aplicadas cuando sea compatible con las finalidades (p. ej., analítica).

Personal

Compromisos de confidencialidad, formación en seguridad, comprobaciones de antecedentes cuando proceda.

Gestión de subencargados

Diligencia previa, contratos escritos con obligaciones equivalentes al RGPD, revisión periódica.

Respuesta a incidentes

Procedimiento documentado, proceso de notificación de brechas, revisión post mortem.

Continuidad de negocio

Plan de recuperación ante desastres, redundancia de componentes críticos, pruebas periódicas.

Borrado de datos

Procedimientos de retención y borrado definidos, borrado seguro al finalizar el contrato.