Contrato de Encargo de Tratamiento (DPA)

Versión contractual: 2026-05-24. Última actualización pública: 24 de mayo de 2026. Este texto complementa privacidad, condiciones y RGPD clínicas.

Importante: esta página es una base contractual operativa para acelerar cierre con clientes B2B. Debe revisarse por asesoría jurídica antes de uso masivo.

1. Roles, objeto y duración

La organización cliente (en adelante, el Responsable) actúa como responsable del tratamiento y el titular del servicio Vintora (en adelante, el Encargado) trata los datos personales por cuenta del Responsable para prestar el servicio SaaS contratado, en cumplimiento del artículo 28 del RGPD y de la normativa española aplicable.

Objeto y finalidad: operación del producto Vintora (gestión de inventario, material, movimientos, proveedores, equipo, fichas de paciente con código interno obligatorio y nombre opcional), incluyendo alojamiento, copias de seguridad, soporte técnico y mantenimiento.
Naturaleza del tratamiento: recogida, registro, organización, conservación, consulta, transmisión, comunicación interna a personal autorizado, copias de seguridad y, llegado el caso, supresión.
Duración: mientras esté vigente la relación contractual y, en su caso, durante los plazos de bloqueo legal aplicables. A la finalización, se procederá según la cláusula 7.
Categorías de interesados: usuarios de la organización (titular, administradores, miembros), pacientes o terceros que la organización decida registrar y, en su caso, contactos de facturación o soporte.
Categorías de datos: identificativos y de contacto (cuenta de usuario y facturación del SaaS), datos de uso (inventario, movimientos, calendario), datos mínimos de paciente definidos por el producto, fichas de proveedor limitadas a nombre y notas internas opcionales, y datos técnicos de seguridad. Pueden incluir datos relativos a la salud (art. 9 RGPD) cuando el Responsable los introduzca; en ese caso aplicarán garantías reforzadas.

2. Obligaciones del Encargado

Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable, incluidas las transferencias internacionales (salvo obligación legal del Derecho de la Unión o del Estado miembro, en cuyo caso lo informará previamente al Responsable salvo prohibición legal).
Garantizar que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad o estén sujetas a obligación legal equivalente, manteniéndola incluso una vez finalizada la relación con el Encargado.
Aplicar las medidas técnicas y organizativas apropiadas al riesgo previstas en el art. 32 RGPD (cifrado en tránsito HTTPS, control de acceso por roles, segregación multi-tenant, minimización en logs, copias de seguridad, planes de continuidad, gestión de incidencias y revisión periódica de permisos).
Asistir al Responsable, mediante medidas razonables, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos (arts. 12–22 RGPD) y de cumplir sus obligaciones de los arts. 32–36 RGPD (seguridad, notificación y comunicación de brechas, evaluaciones de impacto y consultas previas).
Notificar al Responsable, sin dilación indebida y por los canales indicados en la cláusula 6, cualquier violación de la seguridad de los datos personales de la que tenga constancia, facilitando la información razonablemente disponible.
A elección del Responsable, suprimir o devolver los datos personales al finalizar la prestación del servicio, así como suprimir las copias existentes, salvo obligación legal de conservación (cláusula 7).
Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de estas obligaciones y permitir y contribuir a auditorías, incluidas inspecciones, realizadas por el Responsable o por otro auditor autorizado, en los términos de la cláusula 5.

3. Subencargados (autorización general y cambios)

El Responsable otorga autorización general al Encargado para subcontratar los servicios de los proveedores enumerados en la página RGPD — responsables del tratamiento (a fecha actual: Supabase, Vercel, Stripe y proveedor de correo transaccional). El Encargado impone a sus subencargados, mediante contrato u otro acto jurídico, obligaciones de protección de datos equivalentes a las contenidas en este DPA.

Antes de incorporar o sustituir subencargados, el Encargado lo comunicará al Responsable mediante actualización pública en la página de subencargados y, cuando proceda, por correo a la dirección asociada a la cuenta. El Responsable podrá oponerse motivadamente al cambio en un plazo razonable (en defecto de otro pacto, 30 días naturales); en tal caso, las partes negociarán de buena fe una solución y, si no fuera posible, el Responsable podrá resolver el contrato sin penalización, sin perjuicio de las cantidades devengadas hasta la fecha.

4. Transferencias internacionales

Cuando algún subencargado trate datos fuera del Espacio Económico Europeo, se aplicarán las garantías del capítulo V del RGPD: decisiones de adecuación de la Comisión, cláusulas contractuales tipo, normas corporativas vinculantes u otro mecanismo legalmente previsto. Para más detalle consulte la página RGPD — responsables.

5. Auditorías e información para acreditar cumplimiento

El Encargado pondrá a disposición del Responsable, previa solicitud razonable y por escrito, la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD. Para minimizar el impacto operativo, dicha información se proporcionará preferentemente mediante:

Documentación interna (políticas de seguridad, descripción de medidas, listado de subencargados actualizado, certificaciones o informes de terceros cuando se disponga).
Cuestionarios o autoevaluaciones razonables del Responsable, contestados en plazo razonable.
En casos justificados, auditoría in situ o remota, con preaviso mínimo de 30 días, una vez al año salvo incidente acreditado, en horario laboral y con sujeción a deberes de confidencialidad. El Responsable asumirá los costes propios y los del Encargado cuando la auditoría se extralimite del ámbito razonable o exceda la frecuencia pactada.

6. Notificación de violaciones de seguridad

El Encargado notificará al Responsable, sin dilación indebida desde que tenga constancia de una violación de la seguridad de los datos personales tratados por su cuenta, aportando la información razonablemente disponible: naturaleza de la violación, categorías y número aproximado de interesados y registros afectados, consecuencias probables, medidas adoptadas o propuestas para mitigar los efectos y persona de contacto. El canal preferente es hola@vintora-web.com; para asuntos de privacidad puede usarse adicionalmente hola@vintora-web.com.

7. Finalización del tratamiento (devolución o supresión)

Al finalizar la prestación del servicio, el Encargado, a elección del Responsable, devolverá los datos personales o procederá a su supresión, incluidas las copias existentes, salvo que el Derecho de la Unión o del Estado miembro exija su conservación. Hasta que la supresión sea efectiva, el Encargado garantizará el bloqueo y la limitación del acceso conforme a las medidas de seguridad descritas.

Las copias de seguridad técnicas se eliminarán según el ciclo natural de rotación previsto, sin posibilidad de reactivación selectiva de datos individuales antes de ese ciclo.

8. Medidas de seguridad de referencia

Separación multi-tenant por organización y políticas de acceso (RLS de Supabase).
Canal cifrado HTTPS y controles de acceso por rol.
Gestión de cuentas y contraseñas con recuperación segura por correo.
Minimización de datos personales en logs del servidor en producción.
Borrado de organización y cuentas desde ajustes por la persona titular.
Copias de seguridad gestionadas por los subencargados con rotación definida.
Revisión periódica de permisos y formación interna en privacidad y seguridad.

9. Responsabilidad y prelación

La responsabilidad de cada parte se regirá por lo previsto en el contrato principal y, en lo no regulado, por las normas imperativas aplicables. En caso de discrepancia entre este DPA y las condiciones generales, prevalecerá lo dispuesto en este DPA respecto del tratamiento de datos personales por el Encargado.

10. Firma y adhesión

Las organizaciones que requieran firma bilateral o anexo con plantilla propia pueden solicitarlo en hola@vintora-web.com. Consultas de privacidad y DPO: hola@vintora-web.com. La aceptación electrónica de las condiciones de uso y la utilización efectiva del servicio se consideran adhesión al presente DPA en su versión vigente (2026-05-24), sin perjuicio de los acuerdos bilaterales que pudieran formalizarse adicionalmente.

Política de privacidad · Aviso legal · Cookies · Condiciones de uso · RGPD (responsables / clínicas)

Contrato de Encargo de Tratamiento (DPA)

Versión contractual: 2026-05-24. Última actualización pública: 24 de mayo de 2026. Este texto complementa privacidad, condiciones y RGPD clínicas.

Importante: esta página es una base contractual operativa para acelerar cierre con clientes B2B. Debe revisarse por asesoría jurídica antes de uso masivo.

1. Roles, objeto y duración

Objeto y finalidad: operación del producto Vintora (gestión de inventario, material, movimientos, proveedores, equipo, fichas de paciente con código interno obligatorio y nombre opcional), incluyendo alojamiento, copias de seguridad, soporte técnico y mantenimiento.
Naturaleza del tratamiento: recogida, registro, organización, conservación, consulta, transmisión, comunicación interna a personal autorizado, copias de seguridad y, llegado el caso, supresión.
Duración: mientras esté vigente la relación contractual y, en su caso, durante los plazos de bloqueo legal aplicables. A la finalización, se procederá según la cláusula 7.
Categorías de interesados: usuarios de la organización (titular, administradores, miembros), pacientes o terceros que la organización decida registrar y, en su caso, contactos de facturación o soporte.
Categorías de datos: identificativos y de contacto (cuenta de usuario y facturación del SaaS), datos de uso (inventario, movimientos, calendario), datos mínimos de paciente definidos por el producto, fichas de proveedor limitadas a nombre y notas internas opcionales, y datos técnicos de seguridad. Pueden incluir datos relativos a la salud (art. 9 RGPD) cuando el Responsable los introduzca; en ese caso aplicarán garantías reforzadas.

2. Obligaciones del Encargado

Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable, incluidas las transferencias internacionales (salvo obligación legal del Derecho de la Unión o del Estado miembro, en cuyo caso lo informará previamente al Responsable salvo prohibición legal).
Garantizar que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad o estén sujetas a obligación legal equivalente, manteniéndola incluso una vez finalizada la relación con el Encargado.
Aplicar las medidas técnicas y organizativas apropiadas al riesgo previstas en el art. 32 RGPD (cifrado en tránsito HTTPS, control de acceso por roles, segregación multi-tenant, minimización en logs, copias de seguridad, planes de continuidad, gestión de incidencias y revisión periódica de permisos).
Asistir al Responsable, mediante medidas razonables, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos (arts. 12–22 RGPD) y de cumplir sus obligaciones de los arts. 32–36 RGPD (seguridad, notificación y comunicación de brechas, evaluaciones de impacto y consultas previas).
Notificar al Responsable, sin dilación indebida y por los canales indicados en la cláusula 6, cualquier violación de la seguridad de los datos personales de la que tenga constancia, facilitando la información razonablemente disponible.
A elección del Responsable, suprimir o devolver los datos personales al finalizar la prestación del servicio, así como suprimir las copias existentes, salvo obligación legal de conservación (cláusula 7).
Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de estas obligaciones y permitir y contribuir a auditorías, incluidas inspecciones, realizadas por el Responsable o por otro auditor autorizado, en los términos de la cláusula 5.

3. Subencargados (autorización general y cambios)

4. Transferencias internacionales

5. Auditorías e información para acreditar cumplimiento

Documentación interna (políticas de seguridad, descripción de medidas, listado de subencargados actualizado, certificaciones o informes de terceros cuando se disponga).
Cuestionarios o autoevaluaciones razonables del Responsable, contestados en plazo razonable.
En casos justificados, auditoría in situ o remota, con preaviso mínimo de 30 días, una vez al año salvo incidente acreditado, en horario laboral y con sujeción a deberes de confidencialidad. El Responsable asumirá los costes propios y los del Encargado cuando la auditoría se extralimite del ámbito razonable o exceda la frecuencia pactada.

6. Notificación de violaciones de seguridad

7. Finalización del tratamiento (devolución o supresión)

Las copias de seguridad técnicas se eliminarán según el ciclo natural de rotación previsto, sin posibilidad de reactivación selectiva de datos individuales antes de ese ciclo.

8. Medidas de seguridad de referencia

Separación multi-tenant por organización y políticas de acceso (RLS de Supabase).
Canal cifrado HTTPS y controles de acceso por rol.
Gestión de cuentas y contraseñas con recuperación segura por correo.
Minimización de datos personales en logs del servidor en producción.
Borrado de organización y cuentas desde ajustes por la persona titular.
Copias de seguridad gestionadas por los subencargados con rotación definida.
Revisión periódica de permisos y formación interna en privacidad y seguridad.

9. Responsabilidad y prelación

10. Firma y adhesión

Política de privacidad · Aviso legal · Cookies · Condiciones de uso · RGPD (responsables / clínicas)