Acuerdo de Encargado de Tratamiento (DPA)
Ultima actualizacion: 28 de abril de 2026
Preambulo
El presente Acuerdo de Encargado de Tratamiento (en adelante, “DPA”) regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable en el marco del contrato principal de prestacion del servicio VRET (en adelante, “Contrato Principal”), de conformidad con el articulo 28 del Reglamento (UE) 2016/679 (RGPD).
La aceptacion de los Terminos del Servicio incorpora este DPA como anexo vinculante. El Responsable puede tambien firmar el DPA como documento separado cuando asi lo requiera (por ejemplo, formato impuesto por su DPO). En caso de conflicto entre este DPA y el Contrato Principal en materia de proteccion de datos, prevalece este DPA.
1. Partes
| Rol | Identificacion |
|---|---|
| Responsable del Tratamiento | El psicologo, profesional de la salud mental colegiado o entidad juridica (clinica, mutua, asociacion) que contrata el servicio VRET. |
| Encargado del Tratamiento | [Denominacion social — pendiente constitucion SL], NIF [pendiente], domicilio [pendiente], en adelante VRET. |
2. Objeto, Naturaleza, Finalidad y Duracion
- Objeto: tratamiento por VRET, por cuenta del Responsable, de los datos personales del paciente necesarios para la prestacion del servicio SaaS VRET (acceso al catalogo de escenarios VR, ejecucion de sesiones, recogida de marcadores y notas clinicas, almacenamiento y, en su caso, grabacion del entorno virtual).
- Naturaleza: hosting, cifrado, almacenamiento, indexacion, transmision a las gafas VR del paciente, exposicion al Responsable para consulta y export.
- Finalidad: apoyo a la actividad clinica del Responsable conforme al Aviso Medico y a las indicaciones terapeuticas decididas por el profesional.
- Duracion: mientras este vigente el Contrato Principal, mas las ventanas de export y supresion descritas en la seccion 11.
3. Categorias de Interesados y Datos
Interesados: pacientes del Responsable que reciben terapia con apoyo del Software.
Categorias de datos personales tratadas por VRET por cuenta del Responsable:
- Identificadores pseudonimos: alias del paciente elegido por el Responsable. VRET no recibe DNI, nombre completo, fecha de nacimiento ni ningun otro identificador directo del paciente. Si el Responsable introduce identificadores directos en campos libres (notas), seran tratados como datos del paciente bajo este DPA y el Responsable es responsable de la decision de introducirlos.
- Datos relativos a la salud (Art. 9 RGPD): notas clinicas, marcadores SUDS y de eventos clinicos, telemetria de sesion, grabaciones del entorno virtual con audio del psicologo y audio/comportamiento del paciente. La grabacion del entorno virtual no incluye imagen real del paciente.
La base legal para el tratamiento de los datos relativos a la salud es el Art. 9.2.h RGPD (asistencia sanitaria por profesional sujeto a la obligacion de secreto), ejercida por el Responsable.
4. Obligaciones del Encargado (VRET)
De conformidad con el Art. 28.3 RGPD, VRET se obliga a:
- Tratar los datos exclusivamente bajo instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales. Estas instrucciones constan en el Contrato Principal, este DPA, los parametros configurables del Software (planes, retenciones, grabacion on/off) y las solicitudes puntuales por escrito que el Responsable curse a privacidad@vret.es.
- Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad mediante acuerdo escrito y formacion RGPD obligatoria.
- Adoptar las medidas tecnicas y organizativas apropiadas conforme al Art. 32 RGPD. Detalle en el Anexo II.
- No subcontratar a otro encargado sin la autorizacion previa del Responsable. La aceptacion del Contrato Principal incluye autorizacion general para los subencargados listados en el Anexo III. Cualquier alta o sustitucion se comunicara con preaviso minimo de 30 dias; el Responsable podra oponerse motivadamente, en cuyo caso las partes negociaran de buena fe; si no se alcanza acuerdo, el Responsable podra resolver el Contrato Principal sin penalizacion.
- Asistir al Responsable en la respuesta a solicitudes de ejercicio de derechos de los interesados (acceso, rectificacion, supresion, limitacion, portabilidad, oposicion). Plazo objetivo: 5 dias laborables desde la solicitud documentada del Responsable.
- Asistir al Responsable en el cumplimiento de los Arts. 32 a 36 RGPD: medidas de seguridad, notificacion de brechas, evaluacion de impacto y, si procede, consulta previa a la AEPD.
- Devolver o suprimir los datos al fin del contrato conforme a la seccion 11.
- Poner a disposicion del Responsable la informacion necesaria para demostrar el cumplimiento de las obligaciones del Art. 28 y permitir auditorias razonables (vease seccion 9).
- Notificar al Responsable sin dilacion indebida desde el momento de la deteccion de cualquier brecha de seguridad que afecte a sus datos. Plazo objetivo: 24 h desde la deteccion.
- No utilizar los datos del paciente para entrenar modelos de IA propios ni de terceros, ni para ningun fin distinto de la prestacion del servicio. Esta clausula es vinculante e irrevocable durante la vigencia del Contrato Principal.
5. Obligaciones del Responsable
- Recoger el consentimiento informado del paciente conforme a la normativa aplicable, incluyendo, cuando proceda, consentimiento explicito Art. 9.2.a RGPD para la grabacion del entorno virtual.
- Garantizar que el tratamiento responde a una base legal valida (Art. 9.2.h u otra aplicable a su practica).
- Configurar el Software conforme a las necesidades clinicas y a la normativa aplicable a su ejercicio profesional, incluyendo decisiones sobre que pseudonimo usar, que escenarios desplegar y si activar la grabacion.
- Mantener la confidencialidad de las credenciales y aplicar el principio de acceso minimo entre los miembros de su equipo.
- Comunicar a VRET sin demora las solicitudes de derechos de interesados y las brechas de seguridad de las que tenga conocimiento que afecten a la informacion alojada en VRET.
6. Acceso de Soporte (Break-Glass)
En operacion ordinaria, ningun miembro del equipo de VRET accede a los datos clinicos del Responsable. El acceso de soporte por VRET a datos clinicos solo se produce en alguno de los siguientes casos:
- Solicitud explicita del Responsable, mediante ticket o email firmado, identificando el alcance y la duracion del acceso.
- Incidente de seguridad o disponibilidad justificado documentalmente, cuando el acceso sea necesario para contener o reparar el incidente.
- Requerimiento legal de autoridad competente.
Cada acceso queda registrado en log inmutable con: identidad del operario, justificacion, alcance (recursos accedidos), hora de inicio y fin. El Responsable es notificado del acceso (salvo prohibicion legal). El SOP detallado puede ser consultado bajo NDA a peticion.
7. Confidencialidad y Personal Autorizado
VRET mantiene una lista interna de personal autorizado a operar la plataforma. Cada miembro firma compromiso de confidencialidad, recibe formacion RGPD obligatoria y se le aplica el principio de acceso minimo. La obligacion de confidencialidad sobrevive a la extincion de la relacion laboral por un plazo no inferior a cinco (5) anos.
8. Subencargados
La lista canonica y actualizada de subencargados se publica en /seguridad y forma el Anexo III de este DPA. La relacion entre VRET y cada subencargado se regula mediante el correspondiente DPA Art. 28.4, con obligaciones equivalentes a las del presente acuerdo.
Cualquier alta o sustitucion de subencargado que afecte a datos del paciente se notificara al Responsable con preaviso minimo de 30 dias por email registrado y publicacion actualizada en /seguridad. El Responsable podra oponerse motivadamente conforme a la seccion 4.4.
9. Auditoria y Evidencia de Cumplimiento
- Cuestionario de seguridad: VRET responde cuestionarios de seguridad razonables del DPO del Responsable en un plazo objetivo de 10 dias laborables.
- Documentacion disponible bajo NDA: politica de seguridad interna, RAT (Art. 30), EIPD, runbook de brechas, SOP break-glass, lista de subencargados con copia de los DPAs.
- Certificaciones de subencargados: VRET aporta las certificaciones publicadas por sus subencargados (SOC 2, ISO 27001, donde existan) como evidencia de las medidas Art. 32 en sus capas.
- Auditoria por el Responsable: con preaviso razonable (no inferior a 30 dias) y por causa justificada, el Responsable podra realizar una auditoria documental. Las auditorias in situ sobre infraestructura productiva requieren acuerdo previo sobre alcance, duracion, auditor independiente y costes; podran sustituirse por la entrega de informes equivalentes (SOC 2 Type II, ISAE 3000) cuando esten disponibles.
10. Notificacion de Brechas
Si VRET detecta una violacion de la seguridad de los datos personales tratados por cuenta del Responsable, lo notificara sin dilacion indebida, con plazo objetivo de 24 horas desde la deteccion, mediante email a la direccion de contacto registrada por el Responsable. La notificacion incluira:
- Naturaleza y categoria de los datos afectados.
- Volumen estimado de interesados y registros afectados.
- Posibles consecuencias y nivel de riesgo evaluado.
- Medidas adoptadas o propuestas para contener y mitigar.
- Datos de contacto del responsable de la respuesta en VRET.
VRET asistira al Responsable en sus obligaciones de notificacion ante la AEPD (Art. 33) y, en su caso, ante los interesados (Art. 34). El runbook completo esta disponible bajo NDA.
11. Devolucion y Supresion al Fin del Contrato
A la terminacion del Contrato Principal, VRET aplicara el siguiente ciclo:
- D+0 a D+30: ventana de export. El Responsable puede descargar todos sus datos en formatos CSV, JSON o S3 (para grabaciones) desde el panel o via API.
- D+60: supresion operativa de los datos del Responsable de los sistemas productivos.
- D+67: expiracion de las copias de seguridad que contengan dichos datos (ciclo backup 7 dias).
Excepcion: el Responsable puede instruir documentalmente a VRET para conservar la informacion durante el plazo necesario para cumplir sus obligaciones de la Ley 41/2002 (historia clinica, 5 anos minimo) o de otra normativa sanitaria aplicable. En tal caso VRET conservara los datos en frio, inaccesibles para uso operativo, durante el plazo indicado, y aplicara la supresion al final.
A solicitud del Responsable, VRET emitira un certificado de supresion firmado.
12. Continuidad del Servicio
En caso de cese de actividad de VRET, se otorgara al Responsable un preaviso minimo de 90 dias y una ventana de export equivalente a la prevista en la seccion 11. VRET se compromete a colaborar de buena fe en la migracion a la solucion que el Responsable elija.
13. Transferencias Internacionales
Los datos clinicos del paciente no son objeto de transferencia internacional fuera del Espacio Economico Europeo en la operacion ordinaria del servicio.
Las transferencias a subencargados ubicados en o con conexion a Estados Unidos (Auth0/Okta para soporte, Stripe para cobros, Resend, Loops, Cloudflare, Calendly) se amparan en el Marco de Privacidad de Datos UE-EE.UU. (Decision de Adecuacion de la Comision Europea de 10 de julio de 2023, Art. 45 RGPD) y, complementariamente, en las Clausulas Contractuales Tipo aprobadas por la Comision (Art. 46.2.c) cuando aplique.
14. No Uso para Entrenamiento de IA
VRET no utilizara los datos clinicos del paciente (notas, marcadores SUDS, telemetria, audio del psicologo, audio o comportamiento del paciente, grabaciones del entorno virtual) para entrenar modelos de inteligencia artificial propios ni de terceros. Esta obligacion es vinculante, irrevocable y sobrevive a la terminacion del Contrato Principal respecto de los datos que VRET haya tratado.
15. Responsabilidad y Limitacion
La limitacion cuantitativa de responsabilidad de VRET prevista en los Terminos del Servicio es aplicable a este DPA. La limitacion no se aplicara a las multas administrativas impuestas a una parte como consecuencia exclusiva de una infraccion imputable a la otra.
16. Vigencia, Modificaciones, Ley Aplicable y Jurisdiccion
Este DPA entra en vigor con la aceptacion de los Terminos del Servicio o con su firma como documento separado, y permanece vigente mientras VRET trate datos por cuenta del Responsable.
Las modificaciones materiales se comunicaran al Responsable por email con preaviso minimo de 30 dias; el Responsable podra resolver el Contrato Principal sin penalizacion si no acepta las modificaciones.
Este DPA se rige por la legislacion espanola. Las controversias se someten al fuero previsto en los Terminos del Servicio.
Anexo I — Descripcion del Tratamiento
| Elemento | Detalle |
|---|---|
| Finalidad principal | Apoyo clinico mediante VR (relajacion, exposicion graduada) |
| Finalidad secundaria | Soporte tecnico, seguridad, mejora del producto agregada |
| Tipo de tratamiento | Hosting, cifrado, indexacion, transmision, almacenamiento, export |
| Categorias de interesados | Pacientes del Responsable |
| Categorias de datos personales | Pseudonimo, notas clinicas, SUDS, telemetria de sesion, grabaciones del entorno VR (opcional) |
| Categorias especiales (Art. 9) | Datos relativos a la salud (todos los anteriores excepto pseudonimo) |
| Base legal del Responsable | Art. 9.2.h RGPD + Ley 41/2002 |
| Duracion | Vigencia del Contrato Principal + ventanas de export y supresion |
Anexo II — Medidas Tecnicas y Organizativas (Art. 32)
II.A — Medidas tecnicas
- Cifrado en transito: TLS 1.2+ obligatorio.
- Cifrado en reposo: AES-256 en disco del proveedor; cifrado adicional de campo AES-256-GCM envelope encryption sobre columnas con datos clinicos sensibles.
- Aislamiento entre clientes: Row-Level Security PostgreSQL con rol de aplicacion NOBYPASSRLS.
- Autenticacion: SSO/OIDC, soporte MFA, JWT RS256 revocables en tiempo real ante cambio de contrasena.
- Hardening de aplicacion: CSP estricto, CSRF protection en endpoints publicos, rate-limit, validacion de entrada Pydantic v2 con tipado estricto, escapado en SQL via ORM parametrizado.
- Backups: cifrados, retencion 7 dias, en mismo entorno UE.
- Telemetria de errores: con redaccion automatica de PII clinica antes del envio a Sentry.
- Pruebas: bateria automatizada de pruebas de aislamiento entre tenants (Security Gates G1-G9) en cada despliegue.
- Patching: dependencias auditadas con npm audit y pip-audit; parches de seguridad criticos aplicados en plazo objetivo de 7 dias.
II.B — Medidas organizativas
- Politica interna de seguridad, formacion RGPD obligatoria, principio de acceso minimo, MFA hardware en cuentas administrativas, gestion de credenciales centralizada.
- SOP break-glass auditable para cualquier acceso de soporte a datos clinicos.
- Procedimiento de respuesta a brechas con plantillas de notificacion a AEPD y Responsable.
- Procedimiento de offboarding con revocacion de accesos en plazo objetivo de 24 h.
- Designacion voluntaria de Delegado de Proteccion de Datos.
Anexo III — Subencargados
La lista canonica y actualizada se publica en /seguridad. A la fecha de este DPA, los subencargados autorizados son los siguientes (cualquier alta o sustitucion se notifica con 30 dias de preaviso):
| Proveedor | Funcion | Jurisdiccion | Garantia transferencia |
|---|---|---|---|
| Supabase Inc. | PostgreSQL primario (datos clinicos) | UE — Irlanda | DPA Art. 28 + SCC para soporte EE.UU. |
| Cloudflare R2 | Object storage (grabaciones VR) | UE | DPA Art. 28 |
| Hetzner Online GmbH | Computo / hosting backend | UE — Alemania | DPA Art. 28 |
| Auth0 / Okta Inc. | Autenticacion y SSO | UE + EE.UU. (soporte) | DPA Art. 28 + DPF |
| Stripe Payments Europe Ltd. | Cobros (sin datos clinicos) | Irlanda + EE.UU. | DPA Art. 28 + DPF |
| Upstash Inc. | Redis cache + pub/sub (sin datos clinicos) | UE — Irlanda | DPA Art. 28 |
| Resend | Email transaccional | UE + EE.UU. | DPA Art. 28 + DPF |
| Loops | Newsletter (sin datos clinicos) | EE.UU. | DPA Art. 28 + DPF |
| Plausible Analytics | Analitica web sin cookies | UE — Alemania | DPA Art. 28 |
| Sentry | Telemetria de errores con redaccion de PII | UE — Frankfurt | DPA Art. 28 |
| Cloudflare Inc. | CDN, WAF, DNS | Global con jurisdiccion UE | DPA Art. 28 + DPF |
| Calendly | Agendado de demos (sin datos clinicos) | EE.UU. | DPA Art. 28 + DPF |
Anexo IV — Aceptacion
La aceptacion en linea de los Terminos del Servicio implica la aceptacion de este DPA en su version vigente en el momento del alta del Responsable. Las versiones historicas se conservan para acreditar la version aplicable a cada Responsable.
Si su DPO requiere firma manuscrita o avanzada (eIDAS), escribanos a privacidad@vret.es con asunto “Firma DPA + nombre clinica” y le facilitaremos el documento PDF para firma.