Legal

RGPD — Acuerdo de encargo del tratamiento

Última actualización: 25 de abril de 2026

Este documento cumple con el Art. 28 del Reglamento (UE) 2016/679 (RGPD) y establece las condiciones bajo las cuales Flavia trata datos de pacientes en nombre del psicólogo. Al usar Flavia, ambas partes aceptan este acuerdo.

1. Roles en el tratamiento de datos

El RGPD distingue entre quien decide por qué y para qué se tratan los datos (responsable) y quien los trata siguiendo instrucciones de otro (encargado):

  • Responsable del tratamiento: el psicólogo o centro sanitario que utiliza Flavia. Decide qué datos de sus pacientes se recogen, con qué finalidad terapéutica y durante cuánto tiempo.
  • Encargado del tratamiento: Juan Manuel García Delgado (persona física residente en España, NIF: 25614726V), prestador del servicio Flavia en fase de validación. Trata los datos de los pacientes únicamente para prestar el servicio utilizado por el profesional, siguiendo sus instrucciones.

2. Instrucciones de tratamiento

Flavia trata los datos de pacientes exclusivamente para:

  • Almacenar y mostrar el historial clínico y fisiológico en el panel del psicólogo.
  • Enviar el diario de hábitos por WhatsApp a los números de teléfono facilitados.
  • Recibir y procesar las respuestas del paciente al bot.
  • Generar visualizaciones y correlaciones para el psicólogo.
  • Realizar copias de seguridad técnicas.

Flavia no tratará los datos para otros fines sin instrucción documentada del psicólogo, salvo obligación legal.

3. Obligaciones de Flavia como encargado

  • Tratar los datos únicamente según las instrucciones documentadas del responsable.
  • Garantizar que las personas autorizadas a tratar los datos se comprometan a la confidencialidad.
  • Aplicar medidas técnicas y organizativas adecuadas (cifrado, control de acceso por roles, auditorías).
  • Asistir al responsable en el cumplimiento de los derechos de los interesados (acceso, supresión, portabilidad).
  • Suprimir o devolver todos los datos al finalizar el contrato, a elección del responsable.
  • Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento.
  • Notificar al responsable en un máximo de 72 horas cualquier brecha de seguridad que afecte a sus datos.

4. Subencargados (subprocesadores)

Flavia recurre a los siguientes subencargados para prestar el servicio. Todos tienen firmado un DPA conforme al Art. 28 RGPD:

  • Railway Corp. — Infraestructura cloud (hosting y base de datos). Datos alojados en región europe-west (Irlanda). No hay transferencia internacional para los datos de la aplicación.
  • Twilio Inc. (EE. UU.) — Envío y recepción de mensajes WhatsApp para el seguimiento del paciente. Transferencia amparada en Cláusulas Contractuales Tipo (Decisión 2021/914, Módulo 2).
  • Anthropic PBC (EE. UU.) — Procesamiento del asistente de inteligencia artificial «Panorama» que el profesional invoca expresamente para ayudarle a interpretar los datos de seguimiento. Transferencia amparada en Cláusulas Contractuales Tipo (Decisión 2021/914, Módulo 2). Flavia ha solicitado a Anthropic la activación de Zero Data Retention; hasta su confirmación, las consultas pueden conservarse hasta 30 días por motivos de seguridad conforme a las políticas estándar de Anthropic.

Flavia informará al responsable con al menos 30 días de antelación de cualquier cambio en los subencargados. El responsable puede oponerse.

5. Obligaciones del psicólogo como responsable

5.1 Consentimiento de los pacientes

Esta es la obligación más importante. El psicólogo debe obtener consentimiento explícito e informado del paciente antes de incorporarlo a Flavia. El consentimiento debe cubrir: el uso de la plataforma, el envío de mensajes por WhatsApp y el tratamiento de datos de salud.

Recomendamos que el psicólogo:

  • Entregue al paciente una hoja informativa que mencione Flavia como herramienta de apoyo.
  • Obtenga firma del consentimiento (física o digital) antes del primer mensaje de WhatsApp.
  • Informe al paciente de su derecho a revocar el consentimiento y dejar de recibir el diario.
  • Documente el consentimiento y lo conserve durante la relación terapéutica.

5.2 Otras obligaciones

  • Mantener un Registro de Actividades de Tratamiento (RAT) que incluya el uso de Flavia.
  • Realizar una Evaluación de Impacto (EIPD) si trata datos de salud a gran escala (Art. 35 RGPD).
  • Asegurarse de que el tratamiento tiene base legal válida para cada paciente.
  • Notificar brechas de seguridad a la AEPD en 72 horas si Flavia le informa de un incidente.

6. Derechos de los pacientes

Los pacientes ejercen sus derechos (acceso, supresión, portabilidad, etc.) ante el psicólogo, que es el responsable. Flavia apoyará al psicólogo para dar respuesta técnica en un máximo de 5 días hábiles desde la solicitud.

La exportación de todos los datos de un paciente está disponible desde el panel del psicólogo en cualquier momento.

7. Seguridad técnica aplicada

  • Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones.
  • Cifrado en reposo: habilitado a nivel de infraestructura Railway.
  • Control de acceso: cada profesional accede únicamente a sus propios pacientes; el aislamiento se aplica a nivel de consulta de base de datos.
  • Autenticación: JWT firmado con secreto rotativamente gestionado.
  • Sin datos en logs: las respuestas de pacientes no se registran en logs de aplicación.
  • Copias de seguridad: 7 días una vez activadas (en programación durante la fase beta).

8. Duración y terminación

Este acuerdo está vigente mientras el profesional mantenga uso activo del servicio Flavia. Al cancelar, Flavia conservará los datos durante 30 días para permitir la exportación. Pasado ese plazo, se eliminarán de forma segura e irreversible, salvo obligación legal de conservación.

9. Contacto y reclamaciones

Para cualquier cuestión relativa a este acuerdo: [email de contacto pendiente]
Autoridad supervisora competente: Agencia Española de Protección de Datos (AEPD) — aepd.es

Política de privacidadTérminos de usoCookiesRGPD