TÉRMINOS DE SERVICIO Y ACUERDO DE ENCARGO DE TRATAMIENTO (DPA)
CONTRATO DE PRESTACIÓN DE SERVICIOS SAAS Y ENCARGO DE TRATAMIENTO DE DATOS
RGPD (UE) 2016/679 LOPDGDD 3/2018 Art. 28 RGPD Datos de salud (Art. 9)
DE UNA PARTE: NORLAN DIGITAL, S.L., con NIF B86123890 y domicilio en Calle Anunciadora 2, 28224 Pozuelo de Alarcón (Madrid),
titular/licenciataria de la plataforma Sanidalia (en adelante, “Sanidalia”, el “Encargado” o el “Proveedor”).
DE OTRA PARTE: el usuario registrado (en adelante, el “Cliente” o el “Responsable”), cuyos datos constan en el Formulario de Registro.
Ambas partes se reconocen capacidad legal suficiente y, mediante aceptación electrónica, acuerdan lo siguiente:
TÍTULO I — PRESTACIÓN DEL SERVICIO SAAS
CLÁUSULA 1. OBJETO
1.1. Sanidalia concede al Cliente una licencia de uso no exclusiva, intransferible, revocable y limitada al ámbito profesional, para acceder y utilizar la plataforma en modalidad SaaS (en adelante, el “Servicio”) con la finalidad de gestionar la actividad administrativa, clínica, organizativa y/o comercial de su consulta o centro sanitario.
1.2. El Cliente entiende y acepta que Sanidalia es un proveedor tecnológico y que el Servicio constituye una herramienta de gestión. Sanidalia no presta servicios sanitarios ni interviene en decisiones clínicas del Cliente.
CLÁUSULA 2. CUENTAS DE COLABORADORES Y CONFIGURACIÓN
2.1. El Servicio permite crear cuentas de profesionales colaboradores y gestionar permisos, agendas, facturación y acceso a información. La correcta configuración de roles y permisos es responsabilidad exclusiva del Cliente.
2.2. El Cliente reconoce que Sanidalia no determina ni controla la relación laboral/mercantil entre el Cliente y terceros, siendo el Cliente el único responsable del cumplimiento de la normativa laboral aplicable.
CLÁUSULA 3. DURACIÓN, RENOVACIÓN Y BAJA
3.1. La duración inicial será la seleccionada en el Formulario de Registro (mensual o anual).
3.2. El contrato se prorrogará automáticamente por periodos sucesivos de igual duración, salvo preaviso de no renovación con 15 días de antelación.
3.3. Por tratarse de un servicio B2B (entre profesionales/empresas), no resulta de aplicación el derecho de desistimiento previsto para consumidores, salvo que se prevea expresamente una garantía comercial adicional.
CLÁUSULA 4. PRECIO, FACTURACIÓN E IMPAGO
4.1. El precio será el vigente al tiempo de la contratación según tarifas publicadas. Los impuestos que resulten aplicables se repercutirán conforme a ley.
4.2. Sanidalia podrá actualizar tarifas. Cualquier subida superior al IPC será notificada con 30 días de antelación, concediendo al Cliente derecho de resolución sin penalización si no aceptase.
4.3. En caso de impago, Sanidalia podrá suspender temporalmente el Servicio hasta la regularización, sin perjuicio de reclamar cantidades vencidas.
CLÁUSULA 5. SLA, MANTENIMIENTO Y ACTUALIZACIONES LEGALES
5.1. Sanidalia procurará una disponibilidad del 99,5% mensual, excluyendo ventanas de mantenimiento programado y supuestos de fuerza mayor o incidencias de terceros (red/operador/servicios externos).
5.2. Soporte: canal chat/email, con tiempo objetivo de respuesta inferior a 24 horas laborables para incidencias críticas.
5.3. Actualizaciones legales: Sanidalia mantendrá el software actualizado conforme a normativa fiscal aplicable (p.ej., Ley 11/2021). El Cliente se compromete a no intentar alterar registros de facturación.
TÍTULO II — ENCARGO DE TRATAMIENTO DE DATOS (ART. 28 RGPD)
CLÁUSULA 6. ROLES Y ALCANCE DEL ENCARGO
6.1. El Cliente actúa como Responsable del Tratamiento respecto de los datos personales que incorpore o gestione mediante el Servicio. Sanidalia actúa como Encargado del Tratamiento, tratando los datos únicamente por cuenta del Cliente y conforme a sus instrucciones documentadas.
6.2. El Encargado no utilizará los datos para fines propios. Podrá elaborar métricas y estadísticas únicamente cuando sean anonimizadas de forma irreversible (no seudonimizadas) y no permitan reidentificación razonable.
CLÁUSULA 7. OBJETO, NATURALEZA, FINALIDAD Y DURACIÓN
7.1. Objeto: prestación del Servicio SaaS de gestión clínica y administrativa.
7.2. Naturaleza del tratamiento: operaciones de recogida, registro, estructuración, conservación, consulta, modificación, comunicación (cuando el Cliente lo ordene), bloqueo y supresión.
7.3. Finalidad: permitir al Cliente gestionar su actividad profesional (citas, agenda, historia clínica, facturación, comunicaciones, usuarios, permisos y funciones relacionadas).
7.4. Duración: durante la vigencia del contrato y, en su caso, durante el periodo técnico mínimo para exportación y borrado seguro conforme a la Cláusula 16.
CLÁUSULA 8. TIPOS DE DATOS Y CATEGORÍAS DE INTERESADOS
8.1. Datos: identificativos y de contacto; datos económicos/fiscales; datos profesionales; datos de agenda/citas; comunicaciones; y, cuando el Cliente los incorpore, datos de salud (art. 9 RGPD), incluyendo información de historia clínica, evaluaciones, diagnósticos, tratamientos, notas y documentación asociada. También pueden existir datos de menores y representantes legales.
8.2. Interesados: pacientes (incluidos menores), tutores/representantes legales, profesionales sanitarios, personal del centro y usuarios autorizados por el Cliente.
CLÁUSULA 9. BASES JURÍDICAS Y RESPONSABILIDAD DEL CLIENTE
9.1. El Cliente garantiza que dispone de base jurídica válida para el tratamiento (p.ej. ejecución de la relación asistencial, obligaciones legales, y para datos de salud, art. 9.2.h RGPD u otras aplicables), así como del cumplimiento de deberes de información y, cuando proceda, consentimiento.
9.2. El Cliente es responsable de determinar finalidades, medios esenciales, conservación y acceso, así como de atender los derechos de los interesados.
CLÁUSULA 10. INSTRUCCIONES DOCUMENTADAS
10.1. Sanidalia tratará los datos únicamente siguiendo las instrucciones documentadas del Cliente. La configuración realizada por el Cliente en el Servicio (p.ej., permisos, altas/bajas, exportaciones, comunicaciones) se considerará instrucción documentada.
10.2. Si Sanidalia considera que una instrucción infringe el RGPD u otra disposición aplicable, lo comunicará al Cliente sin dilación indebida.
CLÁUSULA 11. CONFIDENCIALIDAD
11.1. Sanidalia garantizará que el personal autorizado para tratar datos se compromete a la confidencialidad o está sujeto a obligación legal equivalente.
CLÁUSULA 12. MEDIDAS DE SEGURIDAD (ART. 32 RGPD)
12.1. Sanidalia aplicará medidas técnicas y organizativas apropiadas atendiendo a la naturaleza de los datos (incluidos datos de salud), el estado de la técnica, el coste de aplicación y los riesgos.
12.2. Con carácter mínimo (resumen), Sanidalia aplica: cifrado en tránsito (TLS 1.2+), controles de acceso y segregación por roles, copias de seguridad cifradas, monitorización y registros de actividad, gestión de vulnerabilidades, restauración ante desastres y medidas de continuidad de negocio. El detalle se describe en el Anexo II.
CLÁUSULA 13. SUBENCARGADOS Y PROVEEDORES
13.1. El Cliente autoriza a Sanidalia a contratar subencargados necesarios para la prestación del Servicio, incluidos los detallados en el Anexo I.
13.2. Sanidalia exigirá a cada subencargado obligaciones equivalentes a las del presente acuerdo (art. 28.4 RGPD).
13.3. Si se incorporara un nuevo subencargado, Sanidalia lo notificará con antelación razonable. Si el Cliente se opusiera por motivos justificados de protección de datos, las partes buscarán alternativa razonable; de no ser posible, el Cliente podrá resolver el contrato.
CLÁUSULA 14. TRANSFERENCIAS INTERNACIONALES
14.1. Cuando un subencargado implique transferencia internacional de datos (fuera del EEE), Sanidalia garantizará la aplicación de un mecanismo válido (p.ej., Cláusulas Contractuales Tipo y medidas adicionales si proceden), y lo reflejará en el Anexo I.
14.2. Si el Cliente habilita integraciones externas por su cuenta (p.ej. sincronizaciones o exportaciones), asumirá la responsabilidad sobre dichas transferencias como Responsable.
CLÁUSULA 15. ASISTENCIA AL RESPONSABLE (DERECHOS, EIPD, AEPD)
15.1. Derechos de los interesados (ARSULIPO): Sanidalia asistirá al Cliente, mediante medidas técnicas y organizativas apropiadas, para que pueda responder a solicitudes de acceso, rectificación, supresión, limitación, oposición y portabilidad, en la medida en que el Cliente no pueda hacerlo por sí mismo a través del Servicio.
15.2. Evaluación de Impacto (EIPD) y consulta previa: Sanidalia prestará asistencia razonable al Cliente para la realización de EIPD y, si procediera, consultas previas ante la autoridad de control, aportando información sobre el Servicio y medidas aplicadas.
CLÁUSULA 16. VIOLACIONES DE SEGURIDAD (BRECHAS)
16.1. Sanidalia notificará al Cliente cualquier violación de seguridad de los datos personales sin dilación indebida y, en todo caso, en un plazo máximo de 48 horas desde que tenga constancia.
16.2. La notificación incluirá, cuando sea posible: (i) naturaleza de la brecha, (ii) categorías y volumen aproximado de interesados y registros afectados, (iii) consecuencias probables, (iv) medidas adoptadas o propuestas, y (v) punto de contacto para ampliar información.
CLÁUSULA 17. DEMOSTRACIÓN DE CUMPLIMIENTO Y AUDITORÍA
17.1. Sanidalia pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento del art. 28 RGPD, incluyendo documentación y evidencias razonables (p.ej., políticas, medidas, registros).
17.2. El Cliente podrá solicitar auditoría razonable una vez al año, con preaviso mínimo de 30 días, en horario laboral, y sin comprometer la seguridad de otros clientes ni revelar secretos comerciales. Podrá sustituirse por informes de terceros (si existieran) o cuestionarios de seguridad cuando resulte proporcional.
CLÁUSULA 18. DEVOLUCIÓN, PORTABILIDAD Y SUPRESIÓN DE DATOS (REVERSIBILIDAD)
18.1. Al finalizar el contrato, el Cliente podrá exportar sus datos mediante funcionalidades del Servicio o mediante solicitud razonable.
18.2. Tras la finalización, Sanidalia procederá a la supresión segura de los datos del Cliente en sistemas de producción en un plazo máximo de 30 días, salvo obligación legal de conservación. Los datos podrán permanecer en copias de respaldo durante el ciclo técnico de retención, quedando bloqueados y no siendo objeto de tratamiento activo, hasta su sobreescritura o eliminación segura.
18.3. A solicitud del Cliente, Sanidalia podrá emitir un certificado de borrado dentro de un plazo razonable.
CLÁUSULA 19. PROHIBICIÓN DE COMUNICACIÓN Y ACCESO NO AUTORIZADO
Sanidalia no comunicará datos a terceros salvo por instrucción del Cliente, obligación legal o requerimiento de autoridad competente, en cuyo caso informará al Cliente si la ley lo permite.
TÍTULO III — PROPIEDAD INTELECTUAL, DATOS Y RESPONSABILIDAD
CLÁUSULA 20. PROPIEDAD INTELECTUAL
El software, código, interfaces, algoritmos y elementos del Servicio son titularidad exclusiva de Norlan Digital, S.L. El presente contrato no transfiere derechos de propiedad intelectual al Cliente.
CLÁUSULA 21. PROPIEDAD DE LOS DATOS
Los datos introducidos o generados por el Cliente en el uso del Servicio son titularidad del Cliente (o de quien corresponda como Responsable), sin que Sanidalia adquiera derecho sobre los mismos.
CLÁUSULA 22. LIMITACIÓN DE RESPONSABILIDAD
22.1. Sanidalia es una herramienta de gestión tecnológica. El Cliente es el único responsable de la calidad, exactitud y licitud de los datos incorporados, así como de sus decisiones clínicas y del cumplimiento normativo aplicable.
22.2. Salvo dolo o negligencia grave, la responsabilidad total de Sanidalia por daños directos se limita al total abonado por el Cliente en los 12 meses anteriores al hecho causante. En ningún caso Sanidalia responderá por daños indirectos, lucro cesante o pérdida de oportunidad.
TÍTULO IV — LEY APLICABLE Y JURISDICCIÓN
Este contrato se rige por la ley española. Las partes se someten a los juzgados y tribunales de Madrid, salvo norma imperativa en contrario.
ANEXO I: SUBENCARGADOS Y PROVEEDORES TECNOLÓGICOS AUTORIZADOS
| Servicio | Proveedor | Rol | Ubicación | Transferencia internacional | Garantía |
|---|---|---|---|---|---|
| Hosting / BBDD | Axarnet Comunicaciones S.L. | Subencargado | España (EEE) | No | Contrato art. 28(4) RGPD |
| Email transaccional | Mailjet (Sinch Email) | Subencargado | UE (p.ej. Francia/Bélgica, según prestación) | No (siempre que el tratamiento se limite a EEE) | Contrato art. 28(4) RGPD |
| Backups externos | Google Drive / Google Cloud | Proveedor | Puede implicar fuera del EEE | Potencialmente sí | SCC + medidas adicionales (cifrado previo) |
| Pagos | Stripe / Redsys | Proveedor independiente | UE / España | Depende de configuración | Condiciones propias del proveedor |
Nota: El Cliente entiende que ciertos proveedores pueden actuar como responsables independientes en sus ámbitos (p.ej. pagos), y que la activación de integraciones externas por parte del Cliente puede implicar tratamientos adicionales bajo su responsabilidad.
ANEXO II: MEDIDAS DE SEGURIDAD (RESUMEN OPERATIVO)
- Cifrado en tránsito: HTTPS/TLS 1.2+ para comunicaciones.
- Cifrado en reposo: protección de almacenamiento y/o discos/volúmenes cuando aplique.
- Control de acceso: RBAC (roles), principio de mínimo privilegio, segregación de entornos.
- Registro y trazabilidad: logs de acceso/actividad y monitorización de incidencias.
- Backups: copias periódicas cifradas y procedimientos de restauración probados.
- Continuidad: medidas de disponibilidad y recuperación ante desastres.
- Gestión de vulnerabilidades: actualizaciones, parches y revisión de dependencias.
- Personal y confidencialidad: accesos restringidos y compromisos de confidencialidad/NDA.
ACEPTACIÓN DIGITAL: Al marcar la casilla “Acepto la política de privacidad y los términos” y completar el registro, el Cliente acepta vincularse por el presente contrato. Sanidalia podrá registrar, como evidencia de aceptación: fecha y hora (UTC), dirección IP, identificador de usuario, versión del documento y huella técnica razonable.
